Я только что выпустил приложение, платное приложение, через 4 дня пользователь сказал мне, что другой сайт в Китае содержит мое приложение. Я загрузил его оттуда, и он отлично работает на моем устройстве!
Здесь есть сообщения, в которых люди могут изменить имя пакета и переиздать apk. Но это не мое дело, трещины в версии все еще используют одно и то же имя пакета. Я использовал Android Vending Licensing в программе, но взломанная версия вообще не выполняет проверку лицензий. Я использовал ProGuard, чтобы запутать его, но это не мешает хакерам.
Вопрос № 1: Я подписал файл apk в соответствии с инструкциями Google. Но все же они изменили код и достали часть проверки лицензии. Я ошибаюсь, что подпись файла apk предназначена для того, чтобы люди не вмешивались в содержимое файла?
Вопрос № 2: Для программ Win32.exe я использовал контрольную сумму, чтобы определить, был ли файл изменен. Вот как это работает: Когда создается .exe, я использовал инструмент для вычисления суммы байтового содержимого файла, а затем помещал его где-то в файл, например, 4 байта после текстового шаблона "МОЙ ПОДПИСЬ", Затем во время выполнения программа открывает файл .exe и вычисляет сумму байта, сравнивает ее с целым числом после подписи.
Кто-нибудь пробовал этот подход в файлах apk? Позаботьтесь о том, чтобы поделиться своим опытом?