Google 用于实现证明 API 的 instructions 是：

Obtain a nonce.
Request a SafetyNet attestation.
Transfer the response to your server.
Use the response on your server,along with your other anti-abuse signals,to control your app's behavior.

我知道应该从服务器获取随机数。如何阻止攻击者运行该应用的两个版本 - 一个在合法设备上，另一个在不安全设备上，并执行以下操作：

1. 不安全设备上的应用从我的服务器获取随机数
2. 安全设备上的应用使用此随机数调用 Google 的证明 API
3. 安全设备上的应用获得来自 Google 的签名 JWS 响应
4. 攻击者将 JWS 响应传输到不安全设备上的应用
5. 不安全设备上的应用向我的服务器发送 JWS 响应

我的应用服务器会验证 JWS - 包括随机数 - 并认为不安全设备上的应用实际上是安全的。

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）