在我的文件夹 assets/data 中,有很多 XML 文件包含我的应用程序的静态数据。
检索 APK、修改其中的一部分并安装到设备上真的很容易。
我想通过检查我的assets/data 文件夹的完整性来防止用户更改我的静态数据。
最初我正在考虑使用 MD5 checksum,但对于我将拥有的文件数量 (50-100) 来说,它可能太慢了。
你有什么建议吗?
编辑:
此应用是一个游戏,其中包含描述每个级别的 XML 文件。
【问题讨论】:
我将介绍如何有效地防止修改和重新打包,而不是如何单独保护资产,尽管您最终可以应用相同的技术来加密它们。它并不完美,但您可以使修改变得更加困难。
您使用证书签署应用程序。尽管他们可以删除您的证书,但在将其重新组合在一起时,没有其他人可以出示相同的证书。因此,您可以在运行时检查应用程序的签名,以确保它符合您的预期。
这里有一些廉价而讨厌的代码来做到这一点:
PackageManager pm = context.getPackageManager();
PackageInfo info = pm.getPackageInfo( context.getPackageName(), PackageManager.GET_SIGNATURES );
if ( info.signatures[ 0 ].toCharsString().equals( YOUR_SIGNATURE ) )
{
//signature is OK
}
其中 YOUR_SIGNATURE 是一个常量,通过在签名应用上运行此代码获得。
现在,您已经暗示了两个剩余的问题:
如何阻止有人只是修改源代码中的常量以匹配他们的证书,然后重新打包并重新签署应用程序?
如何阻止有人找到检查方法并将其删除?
两者都回答:你不能,不是绝对,但你可以通过混淆做得很好。免费的 Proguard,但更有用的是商业的 Dexguard,是执行此操作的工具。您可以拒绝后者目前的 350 欧元费用;另一方面,我曾尝试对受此类保护的应用程序进行逆向工程,除非风险非常很高,否则不值得麻烦。
在一定程度上,您也可以自己对 (1) 进行混淆;通过一些复杂的编程方法在运行时组装签名“常量”,这使得查找和替换变得困难。
(2) 确实是软件设计问题;使取消支票变得足够复杂或烦人。首先,混淆只会使查找变得更加困难。
进一步说明,您可能想看看像 Google Licensing 这样的东西是否在这方面为您提供任何保护。不过我没有任何经验,所以你自己在那里。
【讨论】:
虽然答案是否定的,但还是有点答案。
如果此人拥有您的 apk 并且已对其进行解码,那么即使您使用了校验和,他们也可以使用新的校验和更新代码部分。我不认为你能赢得这个。您可以投入大量精力来保护它,但如果您假设有人可以获取和修改 apk,那么他们也可以撤消保护。在我的商业内容上,我只是尝试使解码不明显但不是防弹的。我知道任何事情都不值得努力甚至是不可能的。
【讨论】:
也许您可以将 xml 文件压缩并放在 assets/data 文件夹中;然后对该.zip 进行校验和。在第一次运行时,您可以解压缩文件以获取 .xml 布局。请参阅 Unzip file from zip archive of multiple files using ZipFile class 解压缩档案。
【讨论】:
可能最可靠的方法是在应用程序启动时从服务器下载关卡 XML 数据,并检查关卡文件的时间戳和大小。这也让您可以随时间提供关卡数据的更新。当然,这意味着您需要增加托管服务器的费用,这可能是另一个问题。
【讨论】: