Question

Почему библиотека проверки лицензии Android не проверяет подпись приложения?

Шаги:

Создание APK с помощью OBB.
Загрузите APK и OBB в консоль Google Play для версии Alpha.
Отмените APK и установите его локально (без загрузки в Google Play).
Запустите приложение.

Если вы правильно настроили учетную запись альфа-теста, отказавшийся apk успешно загрузит OBB из Google Play. (Я использую библиотеку Downloader, которая использует LVL)

ИМО, для LVL легко сравнить сертификат APK с «истинным» сертификатом.

Nick Fortescue · Answer 1 · 03 мая 2018

Google LVL не основан на подписи приложения, потому что получение подписи потребует кода для запуска на клиенте, чтобы получить подпись приложения, и по своей природе этот код может быть изменен злоумышленником.

Вместо этого он проверяет, приобрел ли пользователь приложение на стороне сервера Google, используя хранилище на стороне сервера Google, чтобы узнать, получал ли пользователь когда-либо приложение из Google Play (где его нельзя атаковать).

Цель LVL - позволить (платным) приложениям видеть, были ли они приобретены в Play, а не обнаруживать модификации. Если вы хотите обнаружить изменения в своем приложении, вам лучше использовать API аттестации Google SafetyNet

Библиотека подтверждения лицензии Android и подписание приложения

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Библиотека подтверждения лицензии Android и подписание приложения

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы