假设我开发了一个与Android服务器交互的在线游戏。我要确保的是,在给定用户设备上运行的APK文件是我已上传到Google Play商店的APK。 (意味着,我试图避免有人从设备中提取APK,对其进行黑客攻击,将其重新加载回设备然后使用它来玩游戏的情况。)
Google,Play商店,Android等提供的服务可以做到这一点吗?例如,Play商店可能具有该APK文件的SHA256校验和。由于我的游戏已与Google Play集成(用于保存游戏和进度),我可以调用某些服务来将当前运行的游戏与Play商店注册的内容进行比较吗?
我的想法是,我无法向应用程序本身添加验证,因为有足够动机的修改者可能会绕过或伪造。我希望平台级别可能存在某些东西。
谢谢!
这似乎是SafetyNet Attestation API的目的。