gpt4 book ai didi

android - 谷歌云消息安全

转载 作者:塔克拉玛干 更新时间:2023-11-01 22:09:33 24 4
gpt4 key购买 nike

公司创建了一个项目并收到了一个发件人 ID。公司创建一个应用程序,在其发件人 ID 中烘焙并将该应用程序放置在商店中。

攻击者对应用进行反向工程,提取发件人 ID 和用于接收 GCM 注册 ID 的服务器接口(interface)。

攻击者创建自己的应用程序,烘焙公司的发件人 ID 和服务器注册接口(interface),将应用程序放入商店。就 GCM 而言,攻击应用程序基本上模仿公司的真实应用程序:它注册以接收来自公司的发件人 ID 的消息,然后像“真实”应用程序一样将其 GCM 注册 ID 发送到公司的服务器。

Now 公司想要向其应用程序的所有实例广播一些信息。也许这是一个提醒,而不是更新可用。有什么方法可以区分“攻击应用程序”(与真实应用程序一样注册)与公司应用程序的“真实”版本吗?

最佳答案

我认为从你的场景来看,攻击者不可能向用户发送消息,即使他有注册 ID。公司服务器发送他们需要验证 (OAuth2) 的消息,首先通过 Google 帐户。因此,只有当攻击者知道发送方的密码和注册 ID 时,它才能发送用户。但是发送方的密码当然是永远不会发送给客户端的。

关于android - 谷歌云消息安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11352583/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com