【发布时间】:2021-10-01 10:38:01
【问题描述】:
在过去的几个月里,我一直在努力解决我的应用安全问题。我的应用程序包括玩一些简单的游戏,在过去的几个月里,很多用户一直试图破坏应用程序的安全性并作弊。我知道在游戏中作弊将是一场持久战,我一直在尽我所能保护我的应用程序。就目前而言,我已经实现了以下内容:
- 使用 Crashlytics 中的 CommonUtils.isRooted(this) 来查看用户是否有 root 设备;
- 将 Firebase 调用函数 与 FirebaseAppCheck 结合使用,仅创建安全设备并仅从应用发出请求;
- 在服务器端函数中,我正在实现一个基本函数来验证积分是否有效;
- 添加了 Proguard-rules 的混淆功能;
- 更新:添加了 Firebase 身份验证登录;
我非常有信心,Firebase 调用函数与服务器端函数一起使用来验证用户在每次匹配时所做的点,现在就足够了。但一位用户确实设法打破了这一点,并且能够以每秒尽可能多的分数添加多个游戏。
我不知道他是怎么做到的。我怀疑他可能注入了一些代码,并且能够用他的代码编译应用程序,使用他想要的参数运行 Firebase 调用函数,但我不知道如何防止这种情况。
这就是我提出这个问题的原因。我可以应用更多的安全措施吗?我对应用程序的安全性感到绝望,不知道该怎么做。
【问题讨论】:
标签: android security google-cloud-functions