google云消息安全

Question

公司创建一个项目并接收一个发送者ID。公司创建一个应用程序，烘焙其发送者ID并将该应用程序放置在商店中。

攻击者对应用程序进行反向工程，提取发送者ID和用于接收GCM注册ID的服务器接口。

攻击者创建自己的应用程序，在公司的发送者ID和服务器注册界面中烘焙，将应用程序放在商店中。就GCM而言，攻击应用程序基本上模拟了公司的真实应用程序:它注册接收来自公司发送者ID的消息，然后将其GCM注册ID发送到公司的服务器，就像“真正的”应用程序一样。

现在，公司希望向其应用程序的所有实例广播一些信息。也许这是一个提醒，而不是一个可用的更新。有没有办法区分“攻击应用”(注册时和真实版本一样)和“真实”版本的公司的应用？

Answer 1

同样的问题也可能存在于C2DM，你可以嗅探发送者的电子邮件地址，而不是GCM的项目ID。

C2DM或GCM，不应该被用来发送敏感的用户信息(如帐户名，私人信息等)，它主要用于通知，真正的应用程序可以使用它来执行进一步的操作。

我看不出通知对‘伪造/黑客’应用程序有多大用处，他们将如何处理‘你有新消息’的通知？

Answer 2

我认为在您的场景中，攻击者不可能向用户发送消息，即使他有注册id。公司服务器首先通过谷歌发送他们需要进行身份验证(OAuth2)的消息。因此，只有当攻击者知道发送方的密码和注册id时，它才能发送用户。但是，发送方的密码当然不会发送到客户端。

Answer 3

嗯，这甚至可以在攻击者的应用程序的调试版本中工作，但他不能将他的应用程序放在商店中。GCM标识的一部分是应用程序id，它在商店中需要是唯一的。