Come puoi proteggere le informazioni contenute in un APK?

Suppongo che qualcuno ha costruito un decompiler APK ….. Qual è la pratica migliore per proteggere informazioni sensibili (come i parametri di authorization per un database backend)? Suppongo che un tipo di middleware functionrebbe ma che non può fare buone cose per la velocità. Qual è la "via giusta"?

  • Come rilevare lo stato del dispositivo Offline / Online in Android
  • caricare l'image che non viene visualizzata ma altri visualizzano
  • Controlla lo stato di android online
  • Android: modifica l'intenzione delle immagini
  • Mostra SearchWidget in ActionBar se l'utente preme il button di ricerca del dispositivo
  • Aggiungi Holoeverywhere a progetto in Android Studio
  • Tabulazioni sotto barra d'azione
  • Le lattine Android consentono controlli con gradle
  • Invio di richiesta di posta HTTP con Android
  • CountDownTimer.cancel () non funziona in Android
  • crashlytics android studio gradle build fallito
  • Imansible installare il Leaderboard di Android Play Services (BaseGameUtils)
  • 2 Solutions collect form web for “Come puoi proteggere le informazioni contenute in un APK?”

    È difficile invertire il codice di byte Dalvik; la mia comprensione è che non c'è una semplice mapping indietro al codice byte di Java, molto less alla fonte Java, specialmente se è passato attraverso ProGuard. Tuttavia , i parametri di authorization sono di solito dati, non codice, e che possono essere schioccati per piuttosto facilmente. Inoltre, qualcuno interessato a rompere le tue credenziali ha un sacco di altri mezzi di attacco, incluso lo sniffing dei pacchetti, che non richiedono il recupero del codice sorgente. Il commento di Anon è esattamente giusto – non fidatevi del cliente.

    Per quanto riguarda le best practice, è ansible utilizzare un sistema di crittografia a chiave pubblica, get credenziali dal server, ecc., Per evitare di inserire informazioni sensibili nel file APAP. Non fidatevi dello sconforto o del codice byte oscuro per mantenere i tuoi segreti. Non lo faranno.

    Se stai scrivendo un'applicazione Andoid e usando AWS, ti consigliamo di verificare:

    https://github.com/apetresc/awskeyserver

    L'autore utilizza il servizio AWS IAM (Identity and Access Management) con Google App Engine per proteggere con successo i parametri di authentication. Immagino che IAM sarà alla fine inclusa in Android SDK di AWS, ma fino ad allora, questa è una big opzione.

    L'Android è un fan Android di Google, tutto su telefoni Android, Android Wear, Android Dev e applicazioni Android Games e così via.