Applicatiebeveiliging, piraterij en preventie zijn allemaal de laatste tijd hot topics, en terecht. Zonder een robuuste applicatiemarkt, die honderdduizenden nieuwe activeringen per maand aantal zal niet houdbaar zijn, en een robuuste markt is niet mogelijk zonder de steun van ontwikkelaars. Dat hebben we gezien Android heeft een ingebouwde oplossing om piraterij te voorkomen, en we hebben ook gezien hoe gemakkelijk het is om er omheen te komen als u vastbesloten bent, en als het schema in zijn basisvorm wordt gelaten. Google liet doorschemeren dat ze had wat meer informatie over het hele onderwerp, en trouw aan hun woord, hebben ze dat gedaan. Laten we na de pauze eens kijken naar de methoden van een Googler om een veilige, beveiligde en gebruiksvriendelijke manier te bieden om applicaties te beschermen. [Blog voor Android-ontwikkelaars]
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
De Android Market Licensing Service en de License Verification Library zijn krachtige tools voor ontwikkelaars om piraterij van applicaties te omzeilen. Het probleem, zoals onlangs werd aangetoond, is dat het out-of-the-box niet zo moeilijk te omzeilen is. Aangezien mensen mensen zijn, en velen meer tijd zullen besteden dan het waard is om een 99-cent-applicatie van de Market te kraken, geeft Trevor Johns (een van Android's Dev. Program Engineers) heeft een handige set tips op een rijtje gezet om de meegeleverde tools te versterken en de maatregelen tegen piraterij beter te laten werken.
De vier belangrijkste gebieden zijn:
Code verduistering
Code obfuscation is een truc die wordt gebruikt door ontwikkelaars die de broncode verandert, waardoor bekende functies, pakketten, klassen en variabelen erg moeilijk op te sporen zijn door aan elk een alias te geven. Neem deze denkbeeldige functie bijvoorbeeld - onRedraw (). Elke plaats waar u de functie in de broncode gebruikt, is daar, gemakkelijk te lezen en mogelijk te exploiteren. Een code obfuscator zal de door mensen leesbare functie vervangen door een gegenereerde alias - wy23 () is een goed voorbeeld. Een snelle blik (of een geautomatiseerde tool) om naar functies te zoeken, zal niet werken, omdat je serieus moet graven om precies te zien wat wy23 () echt betekent. Er zijn commerciële Java-code obfyousk8tors (ha!) Beschikbaar, en Trevor beveelt dit aan ProGuard, en plant een toekomstig artikel op de Android Developers Blog over werken met ProGuard.
De licentiebibliotheek wijzigen
Google raadt ontwikkelaars aan om de bron van de geleverde licentiebibliotheken zo veel mogelijk te wijzigen met behoud van de oorspronkelijke functie. Dit is een geval waarin het gekozen pad onbelangrijk is, zolang de bestemming maar wordt bereikt. Ontwikkelaars kunnen functies begraven in if / then-instructies, loops en zelfs de hele bibliotheek in hun eigen codeblok plaatsen.
Om een stap verder te gaan, worden ontwikkelaars aangemoedigd om hash-checks en andere versleutelingsmethoden te gebruiken om nieuwe constanten, en verander de code om naar de nieuwe constanten te zoeken in plaats van degene te gebruiken die door Google in de voorbeeldcode. Zorg ervoor dat u op de bronlink klikt om een goed voorbeeld rechtstreeks van Google te zien, waarin u laat zien hoe dit kan worden gedaan. En don; vergeet hier ook niet de code te verdoezelen!
Maak uw applicatie fraudebestendig
Deze is simpel. Voor een hacker dief om de licentie van uw applicatie te verwijderen, moet hij of zij de applicatie reverse-engineeren en opnieuw opbouwen. Gebruik CRC-controles om dit te voorkomen. Google heeft ook nog een handige tool voor dit gebied - controleer of de Android Market de installatiebron van uw applicatie was, en zo niet, doe dit dan niet; laat het lopen. Nogmaals, er is een handig voorbeeld hiervan op de bronlink.
Verplaats de licentieverificatie naar een externe server
Als uw applicatie online componenten gebruikt, raadt Google u aan om de LVL-informatie en respons uit de app naar uw server te verplaatsen. Wanneer de gebruiker de app gebruikt, controleert uw server bij Google en als alles niet koosjer is, wordt er geen inhoud weergegeven. Hoewel het eenvoudig is, is het ook erg effectief om dit te omzeilen, maar iemand zou niet alleen de applicatie moeten wijzigen, maar ook de inhoud op uw server. Onthoud dat lokale gegevens nooit veilig zijn, maar een goed onderhouden en beveiligde server is een behoorlijk harde noot om te kraken.
Ten slotte herinnert Google zich ons - de eindgebruikers - en raadt aan om deze trucs op een transparante en gebruiksvriendelijke manier te gebruiken. Als je een applicatie-ontwikkelaar bent die geïnteresseerd is in de integriteit en het voorkomen van piraterij van je app (en dat zou je ook moeten zijn!), Bekijk dan zeker de bronlink. Het wordt allemaal nerd en wazig en legt het allemaal voor je uit. Voor de rest van ons is dit meer een herinnering aan hoe Goggle van zijn ontwikkelaars houdt, en we kunnen ons goed voelen wetende dat de grote G doet wat hij kan om te helpen.
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Kom meer te weten.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
De beste draagbare instantfotoprinters voor Android-apparaten.
Je bent onderweg en maakt herinneringen op je mobiel. Hoewel digitaal geweldig is, waarom probeert u die herinneringen dan niet een beetje permanenter te maken met een tastbare foto?