проверка rsa ключа в нативном коде. Если ключ совпадает - приложение работает, не совпадает - приложение падает.
Все было хорошо продолжительное время. Но на днях его взломали с помощью динамической подмены ключа. Они сделали наследование от PmsHookApplication: https://github.com/L-JINBIN/ApkSignatureKiller/blob/master/hook/cc/binmt/signature/PmsHookApplication.java и подписали своим ключоми и выложили apk файл на 4pda. 😭😢
Пожалуйста подскажите как защитить приложение (перенос логики на сервер отпадает)?
я когда защищал приложение, первое что делал проверял его id, ломанули без проблем, затем добавил проверку через гугл сервисы, приобретен in-app или подписка, тоже взломали, как-то сделали, что на запрос всегда возвращается положительный ответ. Единственное что пришло в голову это отслеживать время за которое возвращается ответ от "сервера", если ничтожно мало - приложение взломано
https://youtu.be/t6JQuxZz0Z0
Ой, а вам что-то не нравится? Правильно делали что взломали
Никак. Можно в разных местах использовать разные «случайные» штуки — типа, хэшкод нескольких верхних фреймов со стека умноженный на какой-нибудь блоб из APK. но это всё, конечно, не поможет.
Обсуждают сегодня