Verifica che l'apk di Android non sia stato riconfezionato?

Question

Cercando di migliorare la sicurezza della mia app Android per segnalare se il .apk è stato estratto, modificato, reimballato e rassegnato. Ecco l'articolo di Zdnet che riporta il problema link1.

Il problema è che se l'app è indirizzata dagli hacker, è possibile aggiungere codice dannoso e caricarlo in un app store alternativo e duplicare gli utenti per scaricarlo.

Quindi sto pensando al codice per verificare un checksum dell'apk o del certificato di firma?

Apprezzo che il codice dell'app possa essere riassortito e qualsiasi codice di sicurezza rimosso, ma aumenta la difficoltà di reimballarlo, forse sufficiente per provare un'altra app.

[aggiornamento] So che il modulo di licenze di Google Play Store offre qualcosa di simile ma sto cercando qualcosa per app non pagate e altri/non marketplace.

Answer 1

ho finito per usare Dexgaurd (obfuscator pagato per Android) offre un modulo che preforme verifica apk. Principalmente semplice da implementare e offre una protezione media migliore.

Ecco il codice per fare il check:

dexguard.util.TamperDetection.checkApk(context) 

Il problema principale è dove memorizzare il checksum del apk per verificare contro dato che potrebbe essere sostituito. Il modo dexguard è di controllarlo localmente ma usando altre funzionalità come la crittografia classe/stringa e l'api che nasconde oscura questa chiamata.

Answer 2

Utilizzare il servizio di gestione licenze di Google Si collegherà al Play Store per assicurarsi che l'utente abbia acquistato l'app ogni pochi giorni. (puoi impostare la quantità) Guarda anche ProGuard. Rimuove dal codice tutti i nomi delle classi, dei metodi e delle variabili, rendendoli davvero difficili da capire una volta decompilati.

Answer 3

Ecco alcuni degli articoli che potrebbero aiutarti.

Retrieving APK signature during runtime.
Self checking an APK signature.
How to check APK signature.