Tg 如何在开源客户端时判断是否官方客户端?能不能通过提取官方客户端的 apihash 或类似标识数据来伪造官方客户端?自己产品有类似的需求,在开源客户端同时对第三方客户端加入一些额外的风控,想看看有什么好的实现。
edis0n0 · 2022-10-17 09:29:29 +08:00 · 3191 次点击这是一个创建于 753 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
iwh718 2022-10-17 09:35:55 +08:00
那使用开源版本的和写爬虫是不是差不多了。
|
 |
2
LxnChan 2022-10-17 09:37:39 +08:00
我有个想法,获得自身 App 包的签名,然后混合时间戳或者别的东西做个算法,并在服务端校验,这样即使对应的 api 能被抓到,只要算法和 App 的私钥不泄露就不可能第三方完全伪造。另外也可以加一些广告 sdk ,因为第三方 app 是不可能复刻这些广告 sdk 的,所以可以通过在 sdk 上设置心跳包(比如展示成功、展示失败)以判断客户端是否为官方
|
 |
4
dangyuluo 2022-10-17 10:06:49 +08:00
挺好一个东西,就别玩坏了。
|
|
5
dangyuluo 2022-10-17 10:07:27 +08:00
哦抱歉,我以要伪造 TG 官方客户端。
|
 |
8
janxin 2022-10-17 12:28:04 +08:00
你开源是开放所有代码吗?
|
 |
10
newmlp 2022-10-17 15:40:56 +08:00
接口必须传 appid 和密钥,开源和官方客户端传不同的 appid 和密钥不就行了
|
 |
13
crab 2022-10-17 18:13:45 +08:00
没办法啊,就像双向证书也得保证客户端证书在自己手里。
|
 |
14
butanediol2d 2022-10-17 18:36:49 +08:00 via iPhone
op 可以看看 Telegram 的 reproducible build
https://core.telegram.org/reproducible-builds 它可以在外部验证客户端是否与官方的相同,不知道能不能做到客户端内部,算是一种思路吧。 |
 |
15
lookas2001 2022-10-17 18:49:47 +08:00
执行在用户控制的设备上,无解,只能尽可能提升难度(闭源和混淆是一般操作)
把重要逻辑搬到服务器上吧 一些不大现实的方法: 在用户设备可信执行环境中执行,参考 Android 上 DRM 的实现 使用同态加密 |
Select Language