Библиотека проверки лицензии Android и подписание приложения

Question

Библиотека проверки лицензии Android и подписание приложения

Почему библиотека проверки лицензии Android не проверяет подпись приложения?

шаги:

Создайте APK с помощью OBB.
Загрузите APK и OBB в консоль Google Play для выпуска Alpha.
Отмените APK и установите его локально (без загрузки в Google Play).
Запустите приложение.

Если вы правильно настроили учетную запись альфа-теста, отказавшийся apk успешно загрузит OBB из Google Play. (Я использую библиотеку Downloader, которая использует LVL)

ИМО, для LVL легко сравнить сертификат APK с "истинным" сертификатом.

1

android code-signing licensing android-lvl

Источник

user9251200 03 май '18 в 10:40

1 ответ

Другие вопросы по тегам android code-signing licensing android-lvl

user7635471 03 май '18 в 12:09 2018-05-03 12:09 · Answer 1 · 2018-05-03 12:09

Google LVL не основан на подписывании приложения, потому что для получения подписи потребуется код, выполняемый на клиенте для получения подписи приложения, и по своей природе этот код может быть изменен злоумышленником.

Вместо этого он проверяет, приобрел ли пользователь приложение на стороне сервера Google, используя хранилище на стороне сервера Google того, получал ли пользователь приложение из Google Play (где его нельзя атаковать).

Цель LVL - позволить (платным) приложениям увидеть, были ли они приобретены в Play, а не обнаружить изменения. Если вы хотите обнаружить изменения в своем приложении, вам лучше использовать API аттестации Google SafetyNet