标签：android google-play-services android-security

我目前正在构建一个Android应用程序,它从我的后端服务器请求数据.当然,我想知道我的服务器上收到的请求是否真的来自我的应用程序,或者是否有人只是从另一台服务器等发送HTTP请求.我在这个主题上阅读了Tim Bray’s article,但想知道这种方法到底有多安全.文章提到root设备可能会危及安全性,但我在考虑以下场景：

>恶意的人接受我的应用程序,完全反编译并检测到我使用GoogleAuthUtils
>她/他更改我的应用程序以破解它并将其部署到她/他的设备上(使用相同的包名等)

我知道假应用程序的签名会有所不同(因为恶意的人没有我的私钥),并且无法从Play商店下载(因为没有两个具有相同包名的应用程序可以在那里发布).

如果设备没有root：这个假的应用程序是否获得与GoogleAuthUtils.getToken()相同(或任何)的结果作为我的真实应用程序？

黑客可以对根设备上的响应应用哪些可能的更改(我也可以问：响应的哪些字段由Google签名,以便我可以检测它们是否被取消)？

解决方法:

我没有测试…但我会说getToken因为错误的签名而不会得到任何结果……

如果没有用于与应用程序一起签名应用程序的证书指纹,则无法在Google开发人员控制台中创建oauth客户端.

这就是为什么我会说如果恶意的人没有你的发布密钥库和私钥,getToken不会收到任何关键

编辑：
PS：我知道……这只回答了你的一个问题……

EDIT2：
我已经测试了它,并且可以获得带有错误签名的有效令牌.如果更改了签名,我会得到以下异常：

03-17 18:08:05.195 3315-3498/org.example.myapp E/GoogleOAuthTask: Error getting token
com.google.android.gms.auth.UserRecoverableAuthException: NeedPermission
    at com.google.android.gms.auth.GoogleAuthUtil$1.zzam(Unknown Source)
    at com.google.android.gms.auth.GoogleAuthUtil$1.zzan(Unknown Source)
    at com.google.android.gms.auth.GoogleAuthUtil.zza(Unknown Source)
    at com.google.android.gms.auth.GoogleAuthUtil.zza(Unknown Source)
    at com.google.android.gms.auth.GoogleAuthUtil.getToken(Unknown Source)
    at com.google.android.gms.auth.GoogleAuthUtil.getToken(Unknown Source)
    at com.google.android.gms.auth.GoogleAuthUtil.getToken(Unknown Source)
    at org.example.myapp.shared.security.authentication.google.GoogleOAuthTask.doInBackground(GoogleOAuthTask.java:39)
    at org.example.myapp.shared.security.authentication.google.GoogleOAuthTask.doInBackground(GoogleOAuthTask.java:20)
    at android.os.AsyncTask$2.call(AsyncTask.java:288)
    at java.util.concurrent.FutureTask.run(FutureTask.java:237)
    at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:231)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1112)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:587)
    at java.lang.Thread.run(Thread.java:841)

然后我做了这样的事情来获得权限对话框：

try {
    token = GoogleAuthUtil.getToken(context, emails[0], "oauth2:profile email");
    GoogleAuthUtil.clearToken(context, token);
} catch (final UserRecoverableAuthException e) {
    final Intent intent = e.getIntent();
    context.startActivityForResult(intent, MyApplicationRequestCodes.SECURITY_OAUTH_PERMISSION);
} catch (final GoogleAuthException e) {
    Log.e(LOG_TAG, "Error getting token", e);
} catch (final IOException e) {
    Log.e(LOG_TAG, "Error getting token", e);
}

在对话框中,当它返回活动时,我做了这个：

@Override
public void onActivityResult(int requestCode, int resultCode, Intent data) {
    Log.d(LOG_TAG, "returning from an activity. (requestCode=" + requestCode + ", resultCode=" + resultCode + ", data=" + data.toString() + ")");

    if(requestCode == SECURITY_OAUTH_PERMISSION && resultCode == RESULT_OK) {
        login();
    }

    if(requestCode == SECURITY_OAUTH_PERMISSION && resultCode == RESULT_CANCELED) {
        authenticationHandler.onUserCanceled(new AuthenticationError(
                AuthenticationErrorEnum.USER_ERROR,
                "User closed permission dialog."
        ));
    }

login()然后再次启动相同的过程,然后我收到一个VALID令牌,我可以再次验证由谷歌令牌保护的另一个API.在我的例子中,它是一个firebase数据库.

从firebase我得到了身份验证结果()：

AuthData{uid='google:123412341234333', provider='google', token='***', expires='1458340206', auth='{uid=google: 123412341234333, provider=google}', providerData='{id=987234987032972034097234, accessToken=I_REMOVED_THE_TOKEN_STRING, displayName=Stefan Heimberg, email=kontakt@stefanheimberg.ch, cachedUserProfile={id= 987234987032972034097234, email=kontakt@stefanheimberg.ch, verified_email=true, name=Stefan Heimberg, given_name=Stefan, family_name=Heimberg, picture=https://lh4.googleusercontent.com/--XEA5G7LkjI/AAAAAAAAAAI/AAAAAAAAAAs/dpvdzBNpd6U/photo.jpg, locale=de}, profileImageURL=https://lh4.googleusercontent.com/--XEA5G7LkjI/AAAAAAAAAAI/AAAAAAAAAAs/dpvdzBNpd6U/photo.jpg}'}

所以,最后我必须说,即使签名与谷歌控制台中配置的不同,也可以获得有效的令牌.

但在我更改签名后,我的应用程序必须处理com.google.android.gms.auth.UserRecoverableAuthException并重新启动整个登录过程.

标签：android,google-play-services,android-security
来源： https://codeday.me/bug/20190706/1396208.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。