会社はプロジェクトを作成し、送信者IDを受け取ります。会社はアプリを作成し、送信者IDを焼き込み、店にアプリを配置します。Googleクラウドメッセージングセキュリティ
アタッカーはアプリをリバースエンジニアリングし、送信者IDとGCM登録IDの受信に使用されたサーバーインターフェースの両方を抽出します。
アタッカーは自分のアプリを作成し、会社の送信者IDとサーバー登録インターフェースを取得して、ストアにアプリを入れます。攻撃アプリは、基本的にGCMが実行される限り会社の実際のアプリを偽装します。会社の送信者IDからのメッセージを受信するよう登録し、「本物の」アプリと同じようにGoogleのサーバーにGCM登録IDを送信します。
今、会社はアプリのすべてのインスタンスにいくつかの情報をブロードキャストしたいと考えています。たぶん更新が利用可能であることを知らせるメッセージです。 「アタックアプリ」(本物のものと同じように登録されている)を当社のアプリの「リアル」バージョンと区別する方法はありますか?
いい質問ですが、ここではおそらくOTです。 – ceving