Проверка безопасности показала, что мое приложение android содержит жестко запрограммированные конфиденциальные данные, что рискованно. Он принадлежит к основным Android библиотекам. Как исправить?

Question

Я запустил тест безопасности с помощью инструмента ImmuniWeb в моем Android приложении APK. Одним из наблюдений, сделанных инструментом, было то, что одно из приложений содержит жестко закодированные конфиденциальные данные. Далее было сказано:

Злоумышленник, имеющий доступ к файлу мобильного приложения, может легко извлечь эти данные из приложения и использовать их в любых дальнейших атаках.

Существует «google_api_key», 'google_crash_reporting_api_key' и 'google_storage_bucket' найдены в файле 'android / res / values ​​/ strings. xml'

Проблема заключается в том, что этот strings.xml файл создается автоматически и не может быть отредактирован :

Как мне устранить эту проблему?

Answer 1

Данные, на которые вы ссылаетесь, не являются «частными» или «конфиденциальными». Это стандартная конфигурация для продуктов Firebase, которые внедряются в ваше приложение как часть стандартной сборки приложения с помощью плагина служб Google Play. Все эти значения являются просто идентификаторами сервисов Firebase и Google, которые должны быть известны клиенту для доступа к этим сервисам. Без них ваше приложение не знало бы, где go для получения информации.

Если вы используете в своем приложении базу данных реального времени, Firestore или облачное хранилище, вы должны использовать правила безопасности для каждого из них. продукты, чтобы ограничить, кто может читать и писать, какие места в этих продуктах. Вот как вы реализуете безопасность в приложениях, использующих Firebase. Попытка скрыть или замаскировать конфигурацию не обанкротит решительного злоумышленника.

Я ничего не знаю об этом инструменте, который вы используете для этого сканирования безопасности, но, похоже, он не знает, из этих фактов.