コードネームoneアプリケーションネットワークセキュリティとその他の質問

Question

私はコードネーム1のフレームワークを使用して1つのエンタープライズアプリケーションを実装しましたが、証明書のピン設定脆弱性として知られている信頼できるCAからの自己署名証明書を受け取ります。

したがって、 org.apache.http.conn.ssl.AllowAllHostnameVerifierやSSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIERなどのすべての証明書をアプリケーションが受け入れないようにするにはどうすればよいですか？

また、WRITE_EXTERNAL_STORAGE権限を削除するにはどうすればよいですか？また、未知の権限が1つあります（com.google.android.c2dm.permission.RECEIVEもあります）。これをどうやって削除できますか？

さらに、コードネーム1でアンドロイドのデバッグ可能フラグを無効にする方法と、バイナリを保護して誰もリバースエンジニアリングできないようにする方法を教えてください。

おかげで、

Answer 1

コードネーム一つのアプリケーションは、我々はエンジニアを逆にするというのは簡単ですXML形式を使用していないと、典型的なネイティブアプリケーションよりもリバースエンジニアリングするためにデフォルトで難読化し、難しくしています。デバッグ可能フラグは、設定で明示的に明記していないか、署名証明書を設定していない限り、デフォルトでビルドするリリースバージョンでも無効になっています。

WRITE_EXTERNAL_STORAGEは、Androidの旧バージョンとの互換性のためにデフォルトで追加する特別なケースの許可です。ビルドヒントandroid.blockExternalStoragePermission=falseを使用して無効にすることができます。その他の権限は、developer guideに記載されているAPIの使用状況に基づいて追加されます。

質問が元々see this postに尋ねられたので、証明書のピン（またはSSLピン）が実装されました。