Как предотвратить прослушивание моего приложения для Android?

Question

У меня есть приложение на основе API.

Я уже использую ssl, но мне нужен более безопасный способ.

Например, Wireshark захватывает все вызовы API!

Answer 1

Закрепление сертификатов - это технология, которая вам нужна. Вы должны сказать своему приложению, что такое SSL-сертификат сервера API. Настройте его, используя network_security_config.xml. Используя этот способ, ваше приложение будет гораздо сложнее подвергнуться атаке со стороны mitm.

Answer 2

Существует несколько способов защиты ваших приложений:

1. Пиннинг сертификатов
2. Аутентификация на основе токенов
3. базовая аутентификация
4. Обнаружение кражи

1. Пининг сертификата:

Получите сертификат со своего сервера и прикрепите его к каждому HTTP-запросу. если ваш сертификат действителен, то только ваш запрос будет продолжен.

2. Аутентификация на основе токена: Ваш сервер предоставит токен. используйте этот токен каждый раз при отправке HTTP-запроса.

3. базовая аутентификация:

Используйте базовую аутентификацию с каждым вашим запросом:

Обнаружение кражи

Используйте методы шифрования на основе ключей, такие как AES, и динамически генерируйте этот ключ на своем сервере.