公司创建一个项目并收到发件人ID.公司创建一个应用程序,烘烤其发件人ID并将应用程序放在商店中.
攻击者逆向工程师应用程序,并提取用于接收GCM注册ID的发件人ID和服务器接口.
攻击者创建自己的应用程序,烘焙公司的发件人ID和服务器注册界面,将应用程序放入商店.攻击应用程序基本上模拟公司的真实应用程序,就GCM而言:它注册接收公司发件人ID的消息,然后将其GCM注册ID发送到公司的服务器,就像“真正的”应用程序一样.
现在公司想要向其应用程序的所有实例广播一些信息.也许这是一个提醒,比更新可用.有没有办法区分“攻击应用程序”(其注册类似于真实的)从公司应用程序的“真实”版本?
解决方法
C2DM也可能存在同样的问题,您可以嗅探发件人电子邮件地址,而不是GCM的项目ID.
C2DM或GCM不应用于发送敏感的用户信息(即帐户名称,私人信息等),它主要用于通知,实际应用程序可以使用它进行进一步的操作.
我看不到通知可以对“假/黑客”应用程序有多有用,他们将如何处理“您有新消息”通知?