... o pedir de forma interactiva una contraseña o tener algún certificado es inevitable?
Context
Mi aplicación de Android quiere hacer transacciones seguras a través de mi API de servicios web. Sin embargo, no quiero molestar a mi usuario con pedir / registrar contraseñas, ni pedir instalar certificados.
Así que aquí hay una solución propuesta, pero tengo serias dudas al respecto, no puede ser falsificada.
Solución propuesta
- La conexión entre mi aplicación de Android y la API de mi servidor está restringida a HTTPS
- Antes de que la aplicación se comunique por primera vez con el servidor, consulta el ID de instalación de mi aplicación. Todas las llamadas API subsiguientes tendrán este ID único como primer parámetro.
Question(s)
¿Es posible que un tercero (criminal, pirata informático) conozca este ID de instalación (por ejemplo, instale otra aplicación maliciosa en el mismo dispositivo) para que pueda enviar solicitudes falsas a mi servidor con cualquier herramienta personalizada, como un escritorio? aplicación?