Tema: ¿Merece la pena Dexguard? ¿Alguien lo ha usado?
Ver Mensaje Individual
  #4  
Viejo 12/10/15, 18:13:34
Avatar de josemwarrior
josemwarrior josemwarrior no está en línea
Usuario poco activo
Mensajes: 7
  
Fecha de registro: oct 2015
Localización: Palma
Mensajes: 7
Modelo de smartphone: Samsung Galaxy Note II
Versión de ROM: Oficial Samsung - Android 4.4.2
Tu operador: Pepephone
Mencionado: 2 comentarios
Tagged: 0 hilos
Cita:
Originalmente Escrito por mocelet Ver Mensaje
Si lo que te preocupa es la seguridad de las compras in-app, supongo que lo estarás haciendo con un servidor que compruebe la compra. Si la comprobación se hace en local no hace falta ni siquiera que modifiquen tu app para desbloquearla, con hacerse pasar por el servicio de licencias de Google Play ya engañan a tu app.

En otros escenarios, como p.ej. los juegos, está de moda cambiar las puntuaciones o las monedas gracias a programas, incluso hay tutoriales en este foro. Ahí sí viene bien la protección contra el cambio de valores en memoria, aunque yo usaría métodos más baratos como hashes de los valores importantes para detectar alteraciones.

La experiencia dicta además que mientras más perversiones se hagan al bytecode más fácil que falle la aplicación sin saber por qué, especialmente si se usan bibliotecas de terceros.
Cita:
Originalmente Escrito por kriogeN Ver Mensaje
ProGuard tampoco es que haga mucho, lo único que hace es renombrar las clases, las propiedades y los métodos para que sea "menos intuitivo" encontrar una función concreta en el código.
Aunque precisamente (como ya sabrás si estás usando ProGuard) la clase que interviene en el proceso de compra InApp no puedes ofuscarla.
Quien quiera piratearte la app lo va a hacer, de hecho si no estás usando un servidor para comprobar la compra hay muchísimas utilidades que simulan la compra, incluso sin ser Root, con lo cual no se tienen que molestar ni en crackearla.
Muchas gracias a ambos, dexguard hace mas que proguard, encripta las clases.
Alteraciones mediante hashes también lo tengo implementado.
Lo de montar un server para validar las compras lo veo muy engorroso consumiría muchas horas para lanzar el producto final. Digamos que al final también devolvería un valor booleano de si si o si no? cierto?

El API de Google de compras inapp va por la v3 (version 3), y han añadido algunas mejoras de seguridad in app, ambos me habéis dicho que se puede hackear sin ser root y fácilmente, digamos que si yo os diera acceso a la beta de mi app (en un futuro), sin que os tomara mucho tiempo, ni que tuvieras que calentaros mucho la cabeza, podríais hacer una miniprueba y engañarla? A ver si se rompe tan fácil?

EDIT: si conseguimos burlar la app, creo que reforzare la seguridad con un server checkeando las compras.
Última edición por josemwarrior Día 12/10/15 a las 18:20:20
Responder Con Cita