- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
场景:假设攻击者通过对.apk
文件进行逆向工程,获取了应用中使用的Push Registration Service的SENDER ID
。攻击者开发了一个类似的虚假应用程序,它具有相同/不同的包名,并且已上传到与 Google Play 不同的应用程序商店。
我的问题:他/她能否在该应用程序中使用相同的 SENDER ID?这对安装该虚假应用程序的用户有何影响?
相关问题: google cloud messaging security问题似乎有点相似。也是 Android GCM: same sender id for more application 的答案问题提供了有值(value)的信息。阅读两个已接受的答案,结论似乎是绝对有可能,这就是为什么建议不要在推送消息中包含敏感数据。
但这似乎并不能解决问题。我无法理解上述安全漏洞的影响。
最佳答案
发件人 ID(又名 Google API 项目 ID)不绑定(bind)到唯一的应用程序包名称。事实上,多个应用程序可以使用相同的发送者 ID 注册到 GCM,这将允许使用相同的 API key 向所有这些应用程序发送 GCM 消息。当然,每个应用程序都会有不同的注册 ID(即使在同一台设备上)。
如果有人知道您的发件人 ID,他们可以使用该发件人 ID 注册到 GCM,但如果不知道 API key ,他们将无法将 GCM 消息发送到假应用或真实应用。当他们注册到 GCM 时,GCM 会收到他们假冒应用程序的包 ID。因此,如果您向真实应用程序的注册 ID 发送消息,它将不会到达假应用程序。为了让假应用程序从您的服务器获取消息,它需要将自己的注册 ID 发送到您的服务器并欺骗您的服务器,使其相信它是真正的应用程序。在我们的服务器应用程序中,您必须提及我们的 API key 。如果您想发送任何需要的通知。
关于java - 暴露 GCM SENDER ID 会产生什么后果?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18196292/
在编译iPhone应用程序时,有一个针对“优化”架构(仅限armv7)与标准armv6/armv7架构的设置。 编译纯armv7架构有什么好处/后果? 最佳答案 除非您的程序需要 OpenGLES 2
例如我有这段代码: Sub Month() Dim Conn As New Data.OracleClient.OracleConnection Conn.Open() Try
使用子域在 Wordpress 或 Blogger 上托管博客是否有任何 SEO 劣势?我不想为自己的站点创建博客模块而费心——我宁愿只设置一个 CNAME 条目并将子域指向一个免费的 Wordpre
我们使用免费 API 制作简单的 501C3 map 。通常我们的地理编码使用率很低,但我们所做的更改 [oops] 触发了所有 >2500 条记录的重新请求。 我们可以等待 24 小时“超时”。 我
我在 Heroku 上有一个 Web 应用程序,它一直使用大约 300% 的允许 RAM (512 MB)。我看到我的日志充满了错误 R14(超出内存配额)[每秒一个条目]。尽管状况不佳,我的应用程序
我在我的应用程序中以 FileChannel.MapMode.READ_WRITE 模式创建/使用内存映射文件。这些文件在应用程序的整个生命周期中创建和删除。 由于 GC 不一定释放直接缓冲区以_取消
增加最大连接数有什么害处?即使使用当前设置和复制设置,我们的主服务器也会提示已经有太多客户端。 在 postgresql.conf 中将最大连接数增加到 400 是否安全,或者我的服务器是否有问题,因
我正在处理的网站存在一些小问题,我想发布一个测试版本,在其中进行一些调整以查看效果(我想在移动设备上进行测试设备也是如此,因此拥有实时版本肯定是在多个设备上进行测试的最简单方法)。 理想情况下,我想要
我正在构建一个网站,其中导航栏的元素使用 HTML5 的 Canvas 元素进行动画处理。例如,按钮是 float 的圆圈。这个想法是按钮的文本将 float 到这些圆圈的右侧。我想知道,就 SEO
我是一名优秀的程序员,十分优秀!