安全性：LVL 与应用内购买

Question

我的第一个付费 Android 应用在 1 天内被无情破解，这让我意识到 LVL 安全性是多么可悲。

我的下一个应用将通过托管的应用内购买内容获利，这似乎比 LVL 更安全，因为应用内购买使用可以由我的内容服务器验证的私钥进行签名。我的应用程序可以很容易地被破解和重新分发，但我的内容服务器不能。 （我知道没有什么是绝对安全的，但这种方法看起来比 LVL 更好）。

在我看来，破解应用内购买的唯一方法是：

1. 破解我的内容服务器
2. 破解我的私钥

应用内购买是否比 LVL 更安全，还是我太天真了？ 私钥容易破解吗？

提前谢谢...

Answer 1

它确实更难破解，因为 LVL 已经为人所知，而且如何破解它（甚至是自动化的）的方法已经很普遍。然而，应用程序内购买在技术上并不更安全，除非实际从您的服务器下载了操作被阻止功能所必需的内容（例如代码）。原因是，您的应用程序可以做的任何事情，人们可以检查，人们可以做自己，即使在您的代码的修改版本中。例如，您可以通过 SSL 向服务器验证所有者已经进行了购买，但恶意攻击者总是可以删除该代码并让应用程序像服务器正常一样运行。如果您的应用程序下载了私钥，恶意用户可能会找到一种方法来冒充您的应用程序并下载它等等。

真的没有“无法破解”的软件。只有服务可以相对安全地免受盗版。因此，如果您想避免盗版，您应该编写以产品为服务的软件。