我不明白黑客在进入移动应用程序(例如 android)时可以看到和看不到什么。他反编译了.apk,然后看到了一些.class files。比如我在一个文件中加密了一个key/value对,我仍然需要从代码中调用这个key,如果黑客可以看到代码,不管这个key是否被加密,他都会知道我是哪个key打电话?
我的目标是在我的应用程序中保留一些加密字符串,例如我的应用程序的 twitter 帐户 ID。 有些话题谈论“要读取的私钥,用公钥加密的内容”,但如果我使用它们,我仍然需要将它们存储在我的应用程序中的某个位置......
【问题讨论】:
标签: android security encryption apk
不完全理解您的要求,但经验法则始终假定客户不可信。 你必须确保
如果在您的情况下您的客户必须能够直接访问关键数据,那么您唯一的办法就是使用混淆技术(基本上隐藏您的数据/代码,使其难以找到/理解)。当然,所有的混淆技术最终都会被一个坚定的黑客打败。您必须决定您的数据有多大价值,黑客尝试访问您的数据的可能性有多大。 举一个极端的例子:使用混淆存储您的 Twitter 帐户和密码是非常糟糕的。存储 twitter-url- 可能还不错。
【讨论】:
hiding your data/code:他可以读取 .class 文件并看到我们在保留一些特定数据之前调用了特定且相同的键吗?比如我需要取回level key,应该怎么做?比如把名字“level”加密,然后用加密的“level”名字调用密钥……难道他不能看到我加密了“level”,并在寻找level的加密密钥吗?
您可以在启动应用程序时从服务器获取您的密钥。也不要在 sharedPrefrence 或 Sqlite 中管理应用购买细节。因为在根设备中,用户可以从根浏览器或 sqlite 编辑器应用程序中看到该数据文件,因此用户可以更改值。
【讨论】:
public enum 等?
一个非常有决心的人可以破解它,但破解加密字符串是一个很大的痛苦,并且会阻止大多数黑客。尤其是当你用 ProGuard 之类的东西混淆你的代码时。
【讨论】: