Nano Hash - криптовалюты, майнинг, программирование

Насколько безопасен канал Google Cloud Messaging между устройством и серверами GCM?

Какой механизм идентификации и аутентификации использует GCM для устройств, особенно с учетом того, что Google не требует, чтобы какая-либо учетная запись Google была настроена на устройстве, начиная с Android 4.0.4, для работы уведомлений GCM. Как этот механизм предотвращает перехват сеанса GCM?

То есть, как механизм аутентификации может помешать ложным приложениям читать данные на устройстве (а. На рутированных устройствах, б. На нерутированных устройствах) и использовать эту информацию с другого компьютера для установления сеанса с сервером GCM и получения push-уведомлений. предназначен для оригинального устройства?

Кроме того, есть ли какие-либо известные уязвимости?

android security google-cloud-messaging
17.01.2015

  • Добавлен тег Android, а также 17.01.2015
  • можно уточнить, что вас беспокоит? gcm — это служба push-уведомлений, т. е. вы можете уведомить устройство о событии и предоставить некоторые данные вместе с уведомлением. Что делать с этой информацией, зависит от принимающего устройства/приложения. 17.01.2015
  • @nPn мой вопрос о том, как устройство идентифицирует себя и как серверы GCM аутентифицируют соединение с устройством, чтобы они могли отправлять сообщения, полученные для этого устройства. 17.01.2015
  • @nPn, если устройство для аутентификации GCM скомпрометировано, можно отследить все сообщения, предназначенные для любого приложения на устройстве, что потенциально может раскрыть очень конфиденциальную информацию о пользователе устройства. 17.01.2015

Ответы:


1

Сетевой транспорт для GCM не был публично задокументирован. Тем не менее, вот части, которые публично задокументированы...

Как правило, сообщения GCM принимаются специальной службой, а затем пересылаются отдельным приложениям. Эта служба отвечает за взаимодействие с серверами Google (и аутентификацию на них). Поскольку все коммуникации проходят через эту службу, приложения никогда не имеют прямого доступа к транспорту GCM. Кроме того, изолированная программная среда приложений не позволяет приложениям на устройствах без рута получать доступ к памяти или файлам, принадлежащим другим пакетам.

Укорененные устройства более сложны. В общем, я не рекомендую рутировать устройства, так как это частично нарушает модель безопасности Android. Приложение с привилегиями root сможет читать файлы или память из любого другого приложения. Многие дистрибутивы Android, разработанные сообществом, включают дополнительные средства защиты (например, Утилита суперпользователя), которая помогает управлять тем, какие приложения могут получить привилегии суперпользователя, чтобы помочь предотвратить подобные атаки.

Мне не известны какие-либо атаки непосредственно на протокол GCM.

20.01.2015
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..