问题描述
Google 用于实现证明 API 的 instructions 是:
Obtain a nonce.
Request a SafetyNet attestation.
Transfer the response to your server.
Use the response on your server,along with your other anti-abuse signals,to control your app's behavior.
我知道应该从服务器获取随机数。如何阻止攻击者运行该应用的两个版本 - 一个在合法设备上,另一个在不安全设备上,并执行以下操作:
- 不安全设备上的应用从我的服务器获取随机数
- 安全设备上的应用使用此随机数调用 Google 的证明 API
- 安全设备上的应用获得来自 Google 的签名 JWS 响应
- 攻击者将 JWS 响应传输到不安全设备上的应用
- 不安全设备上的应用向我的服务器发送 JWS 响应
我的应用服务器会验证 JWS - 包括随机数 - 并认为不安全设备上的应用实际上是安全的。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)