एंड्रॉइड साझा लाइब्रेरी अखंडता सुरक्षा

Question

बाइनरी बदलने के खिलाफ एंड्रॉइड मंच के लिए देशी साझा लाइब्रेरी (.so) किसी भी तरह से 'रक्षा' करने का कोई तरीका है? ईजी। कोई व्यक्ति रिवर्स इंजीनियरिंग अनुप्रयोग के बाद एनओपी के साथ एक जेएमपी निर्देश को ओवरराइट कर सकता है, और उस लाइब्रेरी को रूट डिवाइस पर वितरित कर सकता है।

क्या कुछ भी कोई कर सकता है?

जो मैं यहां देख रहा हूं वह चेक की एक श्रृंखला को कार्यान्वित करने के बारे में विचार है (जैसे एन्क्रिप्शन, चेकसमिंग इत्यादि)। बेशक प्लेटफ़ॉर्म ऐसा नहीं दिखता है क्योंकि यह इसके लिए समर्थन प्रदान करता है (अगर मैं गलत हूं तो मुझे सही करें) इसे सभी 'क्लाइंट-साइड' होना होगा। इस प्रकार पूरी बात थोड़ा व्यर्थ है, लेकिन कम से कम कुछ रिवर्स इंजीनियरिंग में बाधा डालती है।

Answer 1

हां ऐसी चीजें हैं जो आप कर सकते हैं, और वे रिवर्स इंजीनियर के लिए इसे बहुत चुनौतीपूर्ण बना देंगे, लेकिन मुझे संदेह है कि आप ऐसा कुछ भी करने में सक्षम होंगे जो Chris Eagle को रोक देगा।

संशोधन से बचाने के लिए सबसे अच्छा तरीका है। इसे संकलित करने के बाद SHA-2 लेना है, और रनटाइम पर प्रत्येक बार रीहैश करना, ज्ञात मान के विरुद्ध मिलान करना। यह चेक ग्राहक पक्ष पर लागू किया जाएगा, इसलिए एक कुशल आरई सिर्फ बाइनरी को चेक को अनदेखा करने के लिए संशोधित कर सकता है। हालांकि यह थोड़ा कठिन बना देता है। यदि आप अपने पूरे कोड में चेक डालते हैं और विभिन्न जांच तकनीकों का उपयोग करते हैं तो यह आरई को किए जाने वाले काम की मात्रा को बढ़ाता है। हालांकि पता है कि माइक्रोसॉफ्ट ने एंटी-आरई तकनीकों में लाखों डॉलर डाले हैं और वहां अभी भी कार्यालय और विंडोज़ की समुद्री डाकू प्रतियां हैं। आप उन्हें कभी नहीं रोकेंगे। मेरा व्यक्तिगत दर्शन (अब मैंने खुद आरई का अध्ययन किया है) यह है कि आखिरकार दर्द का सामना करना और उन्हें रोकने के लिए दर्द होता है। बस एक अच्छा ऐप बनाएं, इसे सस्ता बनाएं, और लोग खरीद लेंगे। आपके सामान चुरा लेने वाले दुश्मनों ने वैसे भी इसे खरीदा नहीं होगा।

यदि आपका ऐप घर पर कॉल करता है तो आप सत्यापन के लिए सर्वर पर हैश सबमिट कर सकते हैं। बेशक और आरई अभी भी इसे बाईपास कर सकता है लेकिन यह एक और चीज है।