Proteggi le tue applicazioni nel modo giusto - come fare per google

La sicurezza delle applicazioni, la pirateria e la prevenzione sono temi caldi di recente, con buone ragioni. Senza un robusto marketplace di applicazioni, centinaia di migliaia di nuove attivazioni ogni mese non saranno mantenibili e un mercato solido non è possibile senza il supporto degli sviluppatori. Abbiamo visto che Android ha una soluzione integrata per prevenire la pirateria e abbiamo anche visto quanto sia facile aggirarla se sei determinato e se lo schema viene lasciato nella sua forma base. Google ha suggerito di avere qualche informazione in più da condividere sull'intero argomento, e fedele alla loro parola l'hanno fatto. Dopo l'interruzione, diamo un'occhiata ai metodi di Googler per fornire un modo sicuro, protetto e facile da usare per proteggere le applicazioni.

Il servizio di gestione licenze Android Market e la libreria di verifica delle licenze sono strumenti potenti per gli sviluppatori per tentare di eludere la pirateria delle applicazioni. Il problema, come è stato recentemente dimostrato, è che non è molto difficile bypassarlo. Dato che le persone sono persone e molti passeranno più tempo di quanto valga la pena spaccare un'applicazione da 99 centesimi dal mercato, Trevor Johns (uno degli sviluppatori del programma di sviluppo di Android) ha messo a punto una serie di suggerimenti utili per rafforzare gli strumenti forniti, e far funzionare meglio le misure antipirateria.

Le quattro aree chiave sono:

Offuscamento del codice

L'offuscamento del codice è un trucco usato dagli sviluppatori che modifica il codice sorgente, rendendo molto difficili da rintracciare funzioni, pacchetti, classi e variabili conosciute fornendo un alias a ciascuno. Prendi ad esempio questa funzione immaginaria: onRedraw (). Ogni posto in cui usi la funzione nel codice sorgente, è proprio lì, facile da leggere e possibilmente sfruttare. Un offuscatore di codice sostituirà la funzione leggibile dall'uomo con un alias generato - wy23 () è un buon esempio. Una rapida occhiata (o uno strumento automatizzato) alla ricerca di funzioni non funzionerà, in quanto è necessario scavare seriamente per vedere esattamente cosa significa veramente wy23 (). Esistono codici commerciali Java obfyousk8tors (ha!) Disponibili e Trevor raccomanda ProGuard e pianifica un futuro articolo sul blog degli sviluppatori Android su come lavorare con ProGuard.

Modifica della libreria delle licenze

Google consiglia agli sviluppatori di modificare il più possibile l'origine delle librerie di licenze fornite mantenendo la funzione originale. Questo è un caso in cui il percorso intrapreso non è importante, purché sia ​​raggiunta la destinazione. Gli sviluppatori possono seppellire la funzione in istruzioni if ​​/ then, loop, persino trasformare l'intera libreria nel proprio blocco di codice.

Per fare un ulteriore passo avanti, gli sviluppatori sono incoraggiati ad utilizzare controlli hash e altri metodi di crittografia per generare nuove costanti e modificare il codice per cercare le nuove costanti anziché utilizzare quelle fornite da Google nel codice di esempio. Assicurati di premere il link di origine per vedere un ottimo esempio direttamente da Google che mostra come farlo. E non dimenticarti di offuscare il codice qui!

Rendi l'applicazione antimanomissione

Questo è semplice. Affinché un ladro di hacker rimuova le licenze dall'applicazione, deve decodificare e ricostruire l'applicazione. Utilizzare i controlli CRC per impedirlo. Google ha anche un altro strumento utile per quest'area: verificare che Android Market sia stata la fonte di installazione dell'applicazione e, in caso contrario, non lasciarlo funzionare. Ancora una volta, c'è un bell'esempio di questo nel link di origine.

Spostare la verifica della licenza su un server remoto

Se l'applicazione utilizza componenti online, Google consiglia di spostare le informazioni e la risposta LVL fuori dall'app e sul server. Quando l'utente utilizza l'app, il tuo server verifica con Google e, se tutto non è kosher, non viene offerto alcun contenuto. Sebbene semplice, è anche molto efficace per aggirare questo, qualcuno dovrebbe cambiare non solo l'applicazione, ma anche il contenuto sul tuo server. Ricorda, i dati locali non sono mai sicuri, ma un server adeguatamente gestito e protetto è un dado piuttosto difficile da decifrare.

Infine, Google si ricorda di noi - gli utenti finali e raccomanda di utilizzare questi trucchi in modo trasparente e intuitivo. Se sei uno sviluppatore di applicazioni interessato alla prevenzione dell'integrità e della pirateria della tua app (e dovresti esserlo!) Assicurati di controllare il link di origine. Diventa tutto geek e sfocato e ti dà tutto. Per il resto di noi, questo è più un promemoria su come Goggle ama i suoi dev, e possiamo stare bene sapendo che il grande G sta facendo il possibile per aiutare.