Scenario: Supponendo di eseguire il reverse engineering di un file .apk
, un utente malintenzionato ottiene SENDER ID
per il servizio di registrazione push utilizzato in un'app. L'autore dell'attacco sviluppa un'applicazione similare simile che ha lo stesso nome di pacchetto/diverso ed è stata caricata su un app store diverso da Google Play.Quali sono le conseguenze dell'essere esposto a GCM SENDER ID?
La mia domanda: È possibile utilizzare lo stesso ID SENDER con l'app? Quali sono le implicazioni di ciò per l'utente che installa quella falsa applicazione?
Domande correlate:google cloud messaging security la domanda sembra essere un po 'simile. Anche la risposta della domanda Android GCM: same sender id for more application fornisce informazioni preziose. Leggendo entrambe le risposte accettate, la conclusione sembra essere che sia assolutamente possibile ed è per questo che si raccomanda di non avere dati sensibili in Messaggi Push.
Ma non sembra essere la soluzione al problema. Non sono in grado di comprendere l'effetto del suddetto errore di sicurezza.
Quindi, questo significa che se l'hacker viene in qualche modo a sapere l'URL del mio server (che dovrebbe essere nascosto), può registrare l'ID di registrazione con il mio server e ogni volta che il mio server decide di inviare il messaggio push a tutte le app, le app false anche ricevere il messaggio push. –
Grazie per la tua risposta. Mi ha aiutato a capire, ma ora ho una preoccupazione aggiuntiva in base alla tua risposta. È probabile che da qualche parte nella mia app menzioni l'URL del server, in modo che la mia app possa inviarmi l'ID di registrazione. Ci può essere qualche controllo sul lato server che assicuri che la richiesta POST provenga solo dalla mia app originale e non dall'app falso? Mi scuso se le mie domande sembrano troppo semplici, ma non sono in grado di visualizzarle come. –
@ShobhitPuri È corretto, a meno che la tua app non abbia modo di dimostrare la sua identità quando contatta il tuo server. – Eran