我最近遇到了我工作的应用程序的安全问题:在根设备上运行的可能性。我发现这种情况很难阻止。我的第一次尝试是实现RootBeer。遗憾的是,有一些像Magisk Manager这样的工具可以欺骗你的应用程序,使其无法识别设备的根。
经过一番研究,我发现SafetyNet终于被"固定的";因此该应用程序不能再通过Magisk使用。为此,我需要向服务器发送一个使用nonce生成的JWS令牌(按照谷歌的建议,从服务器接收(。
现在一切都很好——我的主要问题是我的应用程序可以离线使用。解决方案是在本地验证JWS令牌,但这会打开漏洞。
我需要你的帮助,以了解我应该做什么,以防止应用程序在根设备上打开,使用SafetyNet(或其他方式(,在线和;离线模式。
谢谢!
我建议采用更混合的方式。您可以将RootBeer用于离线使用,将SafetyNet用于在线使用。我最近开始开发一个检测设备安全性的Android SDK。它有一些检查,如根检测、模拟位置、VPN网络、应用程序在沙盒中运行等,这些检查可能对欺诈用例至关重要。
因此,如果你在检测中需要更详细的东西,以便根据用例确定它是否可疑,你可以尝试一下。
当然,任何改进的反馈都是受欢迎的。
https://github.com/AppSafetyTech/safesdk-android