אבטחת היישומים שלך בצורה הנכונה - הדרכה של גוגל

אבטחת יישומים, פירטיות ומניעה כולם נושאים חמים לאחרונה, עם סיבה טובה. ללא שוק יישומים חזק, מאות אלפי הפעלות חדשות בכל חודש המספר לא יתקיים, ושוק יציב אינו אפשרי ללא גיבוי של מפתחים. ראינו את זה ל- Android יש פתרון מובנה למניעת פיראטיות, וגם ראינו כמה קל לעקוף את זה אם אתה נחוש, ואם התוכנית נותרת בצורתה הבסיסית. גוגל רמזה שהם היה קצת מידע נוסף לחלוק על כל הנושא, ונכון למילתם הם עשו זאת. לאחר ההפסקה, בואו נסתכל על השיטות של גוגלר לספק דרך בטוחה, מאובטחת וידידותית למשתמש להגן על יישומים. [בלוג מפתחי אנדרואיד]

שירות הרישוי של אנדרואיד מרקט וספריית אימות הרישיונות הם כלים רבי עוצמה עבור מפתחים לנסות לעקוף את פירטיות היישומים. הבעיה, כפי שהודגמה לאחרונה, היא שלא קשה מאוד לעקוף אותה מהקופסה. מכיוון שאנשים הם אנשים, ורבים ישקיעו יותר זמן ממה שכדאי לפצח אפליקציה של 99 סנט מהשוק, טרבור ג'ונס (אחד מה- Dev של Android. מהנדסי התוכניות) הציבו עצה שימושית של טיפים לחיזוק הכלים המסופקים, ולגרום לאמצעים נגד פירטיות לעבוד טוב יותר.

ארבעת תחומי המפתח הם:

ערפול קוד

ערפול קוד הוא טריק שמשמש מפתחים שמשנה את קוד המקור, מה שהופך את הפונקציות, החבילות, המחלקות והמשתנים הידועים מאוד למעקב על ידי מתן כינוי לכל אחד מהם. קח לדוגמא את הפונקציה הדמיונית הזו - onRedraw (). בכל מקום שאתה משתמש בפונקציה בקוד המקור, זה ממש שם, קל לקריאה ואולי לנצל אותו. ערפיל קוד יחליף את הפונקציה הניתנת לקריאה אנושית בכינוי שנוצר - wy23 () היא דוגמה טובה. מבט מהיר (או כלי אוטומטי) המחפש פונקציות לא יעבוד, מכיוון שנדרש חפירה רצינית כדי לראות בדיוק מה wy23 () באמת אומר. ישנם קוד Java מסחרי obfyousk8tors (ha!) זמין, וטרבור ממליץ פרוגארד, ומתכננת מאמר עתידי בבלוג מפתחי Android בנושא עבודה עם ProGuard.

שינוי ספריית הרישיון

גוגל ממליצה למפתחים לשנות את המקור של ספריות הרישיונות המסופקות ככל האפשר תוך שמירה על הפונקציה המקורית. זהו מקרה אחד שבו הדרך שננקטה אינה חשובה, כל עוד היעד מגיע. מפתחים יכולים לקבור פונקציות בהצהרות אם / אז, לולאות, ואפילו להעביר את כל הספרייה לבלוק הקוד שלהן.

כדי להתקדם, מפתחים מוזמנים להשתמש בבדיקות חשיש ובשיטות הצפנה אחרות כדי ליצור חדש ולשנות את הקוד כדי לחפש את הקבועים החדשים במקום להשתמש בקובעים המסופקים על ידי גוגל ב קוד לדוגמא. הקפד ללחוץ על קישור המקור כדי לראות דוגמה נהדרת ממש מ- Google המראה כיצד ניתן לעשות זאת. ודון; אל תשכח לטשטש את הקוד גם כאן!

הפוך את היישום שלך לחיסוני

זה פשוט. למשך האקר גנב כדי להסיר את הרישוי מהאפליקציה שלך, עליו לבצע הנדסה לאחור ולבנות מחדש את היישום. השתמש בבדיקות CRC כדי למנוע זאת. לגוגל יש כלי שימושי נוסף לתחום זה - ודא שחנות אנדרואיד הייתה מקור ההתקנה של היישום שלך, ואם לא, אל תעשה זאת; לא לתת לזה לרוץ. שוב, יש דוגמה נאה לכך בקישור המקור.

העבר את אימות הרישיון לשרת מרוחק

אם האפליקציה שלך משתמשת ברכיבים מקוונים, גוגל ממליצה להעביר את המידע והתגובה LVL מהאפליקציה הלאה לשרת שלך. כאשר המשתמש משתמש באפליקציה, השרת שלך בודק בגוגל, ואם הכל לא כשר, לא מוגש שום תוכן. למרות שזה פשוט, זה גם יעיל מאוד לעקוף את זה, מישהו יצטרך לשנות לא רק את היישום, אלא גם את התוכן בשרת שלך. זכרו, נתונים מקומיים לעולם אינם בטוחים, אך שרת מתוחזק ומאובטח כראוי הוא אגוז די קשה לפיצוח.

לבסוף, גוגל זוכרת אותנו - משתמשי הקצה וממליצה להשתמש בטריקים אלה באופן שקוף וידידותי למשתמש. אם אתה מפתח אפליקציות שמעוניין במניעת תקינות ופיראטיות של האפליקציה שלך (וכדאי שתעשה זאת!), הקפד לבדוק את קישור המקור. הכל נעשה חנון ומטושטש ומניח את הכל בשבילך. עבור כולנו, זו יותר תזכורת לגבי איך Goggle אוהב את זה, ואנחנו יכולים להרגיש טוב בידיעה ש- G גדול עושה מה שהוא יכול לעזור.