Как однозначно идентифицировать смартфон?

Question

[Александр]

Существует некое приложение на андроиде которое отправляет данные на сервер. Задача сервера сохранять эти данные. Каждый пакет отправленный на сервер имеет подпись пользователя (собственно говоря отправляется JSON в котором имеется идентификатор юзера). На сервере хранится связка IMEI и идентификатор юзера. Необходимо, чтобы сервер умел определять, что эти данные реально были отправлены со смартфона IMEI которого был указан в пакете. Как реализовать такую задачу?

Answer 1

[Виталий Пухов]

100% гарантии не будет в любом случае, увеличить верятность и усложнить жизнь взломщику можно отправляя запрос подписанный электронной подписью (см цифровая подпись), но даже в этом случае если злоумышленник имеет доступ к устройству с которого отправлялись данные то проблем это обойти особо не будет.
понять "по запросу" что отправил именно телефон нельзя, потому как байты есть байты, их можно подслушать, подправить и отправить исправленные

Comments

[Виталий Пухов]

если делать просто "защиту от дурака" то достаточно в header запроса положить какие ни будь "признаки" типа сменить агента или чтото в этом духе, сервер же прочитает header и у браузера этого признака не найдет, от взломщика который слегка умнее табуретки это не спасет

[Александр]

Виталий Пухов: буду очень благодарен, если скинете сюда ссылки, где описано реализация цифровой подписи на Андроиде

[Виталий Пухов]

Александр: пример нужно гуглить, самый элементарный вариант, среди прочих параметров запроса добавляется еще 1 к примеру "&sign=" в этом параметре передавать текст MD5Hash(IMEI+все параметры запроса в string)
соответственно сервер должен знать его IMEI и по нему определять что это именно тот кто был нужен, MD5Hash это функция возвращаяющая хэш сумму от текстовой строки, в строке будет IMEI и все параметры. сервер должен проделать всю эту процедуру точно так же и если параметры не изменены и IMEI тот же получит туже строку в этом параметре. Так сервер может быть уверен что прислал именно тот кто знает IMEI. Если нужна идентификация конкретного устройства в MD5Hash(строку) можно добавить еще какую ни будь произвольную строку, которая хранится на устройстве и которая так же известна серверу.
Это приметивный, но достаточно эффективный способ подписи. Пример расчета md5 есть тут stackoverflow.com/questions/4846484/md5-hashing-in..., со стороны сервера алгоритм не меняется, но реализовываться должен естественно на языке сервера

[Александр]

Виталий Пухов: а более надежных методов нету, нужно как раз устроить защиту именно от самого хазяина данного девайса, чтобы он не отправлял запросы откуда попало, а только своего смартфона. Других я так понимаю мер предосторожности не существует?

[Виталий Пухов]

Александр: единственный способ в таком случае заменить md5 на чтото другое например на md5 от md5 N раз потом от того что получилось SSH, код который это расчитывает нужно защитить всеми возможными средствами, обфускация там и тп, в таком случае сам пользователь сможет подменить запрос только если сможет декомпилировать ваш код.

[Виталий Пухов]

Александр: и к слову 100% защиты все равно не будет, т.к. любое приложение можно декомпилировать, вопрос только в уровне знаний того, кто это будет делать

Answer 2

[Max Payne]

Может для получения IMEI подойдет этот вариант: How to programmatically get the devices IMEI/ESN i...?

Comments

[Александр]

Вопрос не в том как получить андроиду IMEI. Проблема в том, что человек может скомпрометировать систему, передав к примеру с браузера тот же запрос, что и Android. Серверу нужно уметь определять, что пакет пришел именно с смартфона IMEI которого такой же как и хранится в базе

[Max Payne]

Александр: Ну так отправляйте вместе с запросами IMEI и сверяйте их с базой.