Компания создает проект и получает идентификатор отправителя. Компания создает приложение, запекает в своем идентификаторе отправителя и помещает приложение в магазин.
Атакующий обращает инженеров приложение и извлекает как идентификатор отправителя, так и интерфейс сервера, используемый для получения идентификаторов регистрации GCM.
Атакующий создает свое приложение, запекает идентификатор отправителя и серверный интерфейс регистрации, помещает приложение в магазин. Приложение для атаки в основном олицетворяет реальное приложение компании в отношении GCM: оно регистрируется для получения сообщений от идентификатора отправителя компании, а затем отправляет свой идентификатор регистрации GCM на серверы компании, как это делает "реальное" приложение.
Теперь компания хочет транслировать некоторую информацию во все экземпляры своего приложения. Возможно, это напоминание, чем обновление доступно. Есть ли способ отличить "приложение атаки" (которое зарегистрировано как реальное) от "реальных" версий приложения "Компания"?