Mengamankan aplikasi Anda dengan cara yang benar - google how-to

Keamanan aplikasi, pembajakan dan pencegahan semua adalah topik hangat baru-baru ini, dengan alasan yang bagus. Tanpa pasar aplikasi yang kuat, ratusan ribu aktivasi baru setiap bulan tidak akan dapat dipertahankan, dan pasar yang kuat tidak mungkin terjadi tanpa dukungan pengembang. Kami telah melihat bahwa Android memiliki solusi bawaan untuk mencegah pembajakan, dan kami juga telah melihat betapa mudahnya menyiasatinya jika Anda bertekad, dan jika skema dibiarkan dalam bentuk dasarnya. Google mengisyaratkan bahwa mereka memiliki lebih banyak informasi untuk dibagikan tentang seluruh subjek, dan sesuai dengan perkataan mereka, mereka telah melakukannya. Setelah istirahat, mari kita lihat metode Googler untuk menyediakan cara yang aman, aman, dan ramah pengguna untuk melindungi aplikasi.

Layanan Perizinan Pasar Android dan Perpustakaan Verifikasi Lisensi adalah alat yang ampuh bagi pengembang untuk mencoba menghindari pembajakan aplikasi. Masalahnya, seperti yang diperagakan baru-baru ini, adalah bahwa di luar kotak itu tidak terlalu sulit untuk dilewati. Karena manusia adalah manusia, dan banyak yang akan menghabiskan lebih banyak waktu daripada layak untuk memecahkan aplikasi 99 sen dari Market, Trevor Johns (salah satu Pengembang Program Engineer Dev) Android telah memberikan serangkaian tips praktis untuk memperkuat alat yang disediakan, dan membuat tindakan anti-pembajakan bekerja lebih baik.

Empat bidang utama adalah:

Kebingungan Kode

Kebingungan kode adalah trik yang digunakan oleh pengembang yang mengubah kode sumber, membuat fungsi, paket, kelas, dan variabel yang diketahui sangat sulit dilacak dengan menyediakan alias untuk masing-masingnya. Ambil fungsi imajiner ini misalnya - onRedraw (). Setiap tempat Anda menggunakan fungsi dalam kode sumber, itu ada di sana, mudah dibaca dan mungkin dieksploitasi. Kode obfuscator akan menggantikan fungsi yang dapat dibaca manusia dengan alias yang dihasilkan - wy23 () adalah contoh yang baik. Pandangan sekilas (atau alat otomatis) yang mencari fungsi tidak akan berfungsi, karena butuh penggalian yang serius untuk melihat apa arti sebenarnya dari wy23 (). Ada kode Java komersial obfyousk8tors (ha!) Tersedia, dan Trevor merekomendasikan ProGuard, dan merencanakan artikel di masa depan di Android Developers Blog tentang bekerja dengan ProGuard.

Memodifikasi Perpustakaan Lisensi

Google merekomendasikan agar pengembang mengubah sumber pustaka lisensi yang disediakan sebanyak mungkin sambil tetap mempertahankan fungsi aslinya. Ini adalah satu kasus di mana jalan yang diambil tidak penting, selama tujuan tercapai. Pengembang dapat mengubur fungsi jika pernyataan, loop, atau bahkan memindahkan seluruh perpustakaan ke dalam blok kode mereka sendiri.

Untuk melangkah lebih jauh, pengembang didorong untuk menggunakan pemeriksaan hash dan metode enkripsi lainnya untuk menghasilkan konstanta baru, dan mengubah kode untuk mencari konstanta baru alih-alih menggunakan yang disediakan oleh Google dalam kode contoh. Pastikan untuk menekan tautan sumber untuk melihat contoh yang bagus langsung dari Google yang menunjukkan bagaimana hal ini dapat dilakukan. Dan jangan lupa untuk mengaburkan kode di sini juga!

Buat aplikasi Anda tahan rusak

Ini sederhana. Untuk pencuri peretas untuk menghapus lisensi dari aplikasi Anda, ia harus merekayasa balik dan membangun kembali aplikasi. Gunakan pemeriksaan CRC untuk mencegah hal ini. Google juga memiliki alat praktis lain untuk area ini - verifikasi bahwa Android Market adalah sumber instalasi aplikasi Anda, dan jika tidak, jangan biarkan itu berjalan. Sekali lagi, ada contoh bagus tentang hal ini di tautan sumber.

Pindahkan verifikasi lisensi ke server jauh

Jika aplikasi Anda menggunakan komponen online, Google merekomendasikan Anda untuk memindahkan informasi dan respons LVL dari aplikasi dan ke server Anda. Saat pengguna menggunakan aplikasi, server Anda memeriksa dengan Google, dan jika semuanya tidak halal, tidak ada konten yang disajikan. Meskipun sederhana, ini juga sangat efektif untuk menyiasati hal ini, seseorang harus mengubah tidak hanya aplikasi, tetapi konten di server Anda juga. Ingat, data lokal tidak pernah aman, tetapi server yang dipelihara dan diamankan dengan baik adalah kacang yang cukup sulit untuk diretas.

Terakhir, Google mengingat kami - pengguna akhir, dan merekomendasikan agar trik ini digunakan dengan cara yang transparan dan ramah pengguna. Jika Anda seorang pengembang aplikasi yang tertarik pada integritas dan pencegahan pembajakan aplikasi Anda (dan memang seharusnya begitu!), Pastikan untuk memeriksa tautan sumber. Itu semua menjadi culun dan kabur dan menjabarkannya untuk Anda. Bagi kita semua, ini lebih merupakan pengingat tentang bagaimana Goggle mencintai itu milik dev, dan kita bisa merasa senang mengetahui bahwa G besar melakukan apa yang bisa dilakukan untuk membantu.