极光IM 安全性问题

haobrother2020 2020-03-10 03:20 250 1

最近在集成极光IM，使用的是最新的jmessage-react-plugin官方插件，但是我发现一个安全性问题。

现在Android的app包名和极光appkey都是公开的，而如果中间人攻击拿到我的用户账号和密码，那攻击者不是可以伪装我的app弄一个聊天客户端出来，然后伪装成我的用户首发消息？

我看到iOS端是可以在极光后台IM配置token或者证书，但是安卓只需要包名com.xxxxx就可以，这样是不是就会存在伪装app的可能性？

请问我上面的理解有没有问题，请问极光这边有没对应的解决方案？
望回复，谢谢！

热门排序

极光技术支持团队 | 极光官方技术支持人员... 采纳 2020-03-10 05:18

如果他用你的 Appkey 和包名去集成了极光的SDK，做出一个测试demo，那他确实是可以调API注册成你们这个应用的用户，并聊天的。这里需要做的是你们自己的账号、密码的加密，防止被泄露，和被盗的防范措施等。只要不是你用户的账号密码被展示全部

点赞 0 收藏 0 评论 0 复制链接
用户9242590 2020-03-10 05:25

这里需要做的是你们自己的账号、密码的加密，防止被泄露，和被盗的防范措施等。只要不是你用户的账号密码被盗，那他伪装出一个 App，也仅能注册新账号对于上段我理解的是，只要是对接极光推送的IM 我只需要获取到包名和appkey，伪装一个AP 展示全部

点赞 0 收藏 0 评论 1 复制链接