我的应用根据用户的位置授予权限。如果设备未将位置报告回服务器,则其在服务器上的权限为none。
我希望尽可能使其成为黑客安全,以便特权严格受设备当前位置的限制。
如果我能准确识别用户/设备,就可以取得良好进展。然后我可以阻止设备X,如果它报告现在在纽约,并在洛杉矶10分钟后(实际上是不可能的)。
没有注册。用户只需解决验证码即可开始使用该应用。就是这样!
有没有办法阻止某人使用Android模拟器模拟20个不同的设备,每个设备在不同的城市,并且所有虚假数据都发送到服务器,就好像它们是真正的用途一样?如果没有,有没有办法让黑客真的很难这样做?
答案 0 :(得分:1)
你几乎没有运气。设备总是会谎言他们的位置。如果您有某种方法可以让用户(即我无法继续注册免费帐户)并且可以看到他们是否这样做,您可以按照您的说法黑名单。只需让人们在首次使用时“登录”或等效,并存储他们的凭据。你可以尝试使用像IMEI号码或其他东西,如果你有权获得它,但我怀疑有人在模拟器或说cyanogen mod也可以改变它,但它会更难。
对此有一点需要注意,如果您正在尝试进行接近度测试,如果两个朋友彼此靠近,您可以做出相当强大的位置加密保证。这可以做到。见this论文。
对于执行真正高安全性位置证明的一般不可能性结果,请看这个相当密集的paper。不可否认,你可能做的事情仍然不容易打破,但不容易。