Как вы можете защитить информацию, содержащуюся в APK?

Question

Я предполагаю, что кто-то создал декомпилятор APK ..... Как лучше защитить конфиденциальную информацию (например, параметры аутентификации для базы данных бэкэнда)?Я полагаю, что какое-то промежуточное программное обеспечение будет работать, но это не принесет пользы для скорости.Что такое "правильный путь"?

Answer 1

Если вы пишете приложение для Android и используете AWS, настоятельно рекомендуем проверить:

https://github.com/apetresc/awskeyserver

Автор использует AWS IAM (сервис управления идентификацией и доступом) с Google App Engine для успешной защиты параметров аутентификации. Я полагаю, что IAM в конечном итоге будет включен в Android SDK AWS, но до тех пор это отличный вариант.

Answer 2

Сложно перепроектировать байт-код Dalvik; Насколько я понимаю, не существует простого сопоставления с байт-кодом Java, а тем более с исходным кодом Java, особенно если он прошел через ProGuard. Однако , параметры аутентификации - это, как правило, данные, а не код, и их можно легко отследить. Более того, у кого-то, кто заинтересован в взломе ваших учетных данных, есть множество других средств атаки, включая перехват пакетов, которые не требуют восстановления вашего исходного кода. Комментарий Анона совершенно прав - не доверяй клиенту.

Что касается передового опыта, вы можете использовать систему шифрования с открытым ключом, получать учетные данные с сервера и т. Д., Чтобы избежать помещения конфиденциальной информации в файл .apk. Не доверяйте запутыванию или неясному байт-коду, чтобы сохранить свои секреты. Они не будут.