终端环境安全检测能力如果接口被攻击了怎么办
本帖最后由 论坛用户355929 于 2022-11-3 11:36 编辑我们需要使用https://open.oppomobile.com/new/developmentDoc/info?id=11474这个文档的接口实现对运行时玩家设备安全状况的检测机制。但是我们看到这里是在调用startProbe后,等待onSuccess回调时拿到诸如这样的检测结果,但是这里有问题。这个数据是纯明文的数据,并没有经过任何签名。
{"auth":"success","root":{"result":"false"},"selinux":{"result":"true","detail":["Permissive\n"]},"xposed":{"result":"false"},"proxy":{"result":"false"},"vpn":{"result":"false"},"separation":{"result":"false"},"emulator":{"result":"false"},"ptrace":{"result":"false"},"frida":{"result":"false","detail":[]},"hook":..
注意是需要经过Oppo侧基于RSA公钥的“签名”,而不是一个简单的md5哈希计算,md5是哈希计算,并没有签名的作用。在这里的md5哈希只能保证这一串数据不会被篡改,但是不能保证整个数据和哈希是由oppo提供的。
如果被外挂或者hook工具攻击了客户端的这些接口,应用如何保证可以拿到Oppo提供的数据,Oppo如何保证相关系统接口不会被攻击?
页:
[1]