Правильний спосіб забезпечення ваших програм - інструкція Google

Безпека додатків, піратство та запобігання - це гарячі теми останнім часом з поважною причиною. Без надійного ринку додатків, що сотні тисяч нових активацій щомісяця номер не стане ремонтом, і надійний ринок неможливий без підтримки розробників. Ми бачили, що в Android є вбудоване рішення для запобігання піратства, а також ми бачили, наскільки легко його обійти, якщо ви вирішили, і якщо схема залишилася в її базовій формі. Google натякнув, що вони мають трохи більше інформації, щоб поділитися цілою темою, і правдиво, як вони це зробили. Після перерви давайте ознайомимося з методами Googler, щоб забезпечити безпечний, безпечний та зручний спосіб захисту програм.

Служба ліцензування Android Market та Бібліотека підтвердження ліцензій є потужним інструментом для розробників, які намагаються обійти піратство програм. Проблема, як недавно з'явилися, полягає в тому, що поза коробкою її не дуже важко обійти. Оскільки люди - це люди, і багато хто витратить більше часу, ніж варто зламати 99-відсоткову програму з ринку, Тревор Джонс (один з інженерів програми для розробників Android) створив зручний набір порад щодо посилення наданих інструментів, і змусити заходи проти піратства працювати краще.

Чотири ключові сфери:

Код обфускування

Обфускація коду - це хитрість, яку використовують розробники, яка змінює вихідний код, роблячи відомі функції, пакунки, класи та змінні дуже важкими для відстеження, надаючи псевдонім кожному. Візьмемо для прикладу цю уявну функцію - onRedraw (). Кожне місце, де ви використовуєте функцію у вихідному коді, саме там, воно легко читається та можливо експлуатується. Кодовий обфускатор замінить людську функцію, що читається, на створений псевдонім - wy23 () - хороший приклад. Швидкий огляд (або автоматизований інструмент), який шукає функції, не спрацює, оскільки потрібне серйозне копання, щоб побачити, що саме означає wy23 (). Є комерційний код Java obfyousk8tors (га!), І Тревор рекомендує ProGuard і планує майбутню статтю в Блозі розробників Android про роботу з ProGuard.

Зміна бібліотеки ліцензій

Google рекомендує розробникам максимально змінити джерело наданих бібліотек ліцензій, зберігаючи початкову функцію. Це один випадок, коли пройдений шлях є неважливим, поки досягнуто місця призначення. Розробники можуть поховати функцію в операторах if / then, циклічно, навіть перемістити всю бібліотеку у власний блок коду.

Щоб піти на крок далі, розробникам рекомендується застосовувати хеш-перевірки та інші методи шифрування для генерації нових констант, а також змінювати код, щоб шукати нові константи, а не використовувати ті, які надає Google у прикладі коду. Обов’язково натисніть посилання на джерело, щоб побачити чудовий приклад від Google, який показує, як це можна зробити. І не забудьте тут також придушити код!

Зробіть вашу програму несанкціонованою

Цей простий. Щоб злодій- хакер вилучив ліцензію з вашої заявки, він повинен переробити інженер і відновити програму. Використовуйте чеки CRC, щоб запобігти цьому. У Google є ще один зручний інструмент для цієї області - переконайтеся, що Android Market був джерелом інсталяції вашої програми, а якщо ні, не дозволяйте їй запускатись. Знову, тут є чудовий приклад цього посилання на джерело.

Перемістіть перевірку ліцензії на віддалений сервер

Якщо у вашій програмі використовуються компоненти в Інтернеті, Google рекомендує перемістити інформацію про LVL та відповідь з програми та на свій сервер. Коли користувач використовує додаток, ваш сервер перевіряється в Google, і якщо все не коштує, вміст не подається. Хоча це просто, але це також дуже ефективно, щоб обійти це, комусь доведеться змінювати не тільки додаток, але і вміст на вашому сервері. Пам’ятайте, що місцеві дані ніколи не є безпечними, але належним чином підтримуваний та захищений сервер - це досить міцна гайка.

Нарешті, Google пам’ятає нас - кінцевих користувачів та рекомендує використовувати ці трюки таким чином, що є прозорим та зручним для користувачів. Якщо ви розробник додатків, який зацікавлений у недоторканності та запобіганні піратству вашої програми (і ви повинні бути такою!), Не забудьте перевірити посилання на джерело. Це стає все примхливим і нечітким і все це викладає на вас. Для решти нас це більше нагадування про те, як Goggle любить своїх чортів, і ми можемо почувати себе добре, знаючи, що великий G робить усе, що може, щоб допомогти.