kann ich eine signierte und installierte Android App dekompilieren?

Question

Ich muss einige Passwörter in einer Android-App speichern. Ich habe keine Möglichkeit, da diese bestimmte App keine Authentifizierung mit einem Remote-Server durchführen kann.

ich an diesem Decompiler war auf der Suche:

http://www.javadecompilers.com/apk

noch, ich habe eine einfache Frage, die ich online verschiedene Antworten zu sehen. Ist es einem Hacker möglich, das Gerät meines Kunden zu rooten, die Anwendung zu holen (ich nehme an, die APK ist irgendwo im Gerät), einen Decompiler zu starten und die Passwörter nachzuschlagen?

Beachten Sie, dass dies eine Produktion App und wird über den Google Store unterzeichnet und installiert werden. Dies ist nicht nur eine unsignierte apk, die herumschwebt.

danke.

Answer 1

Ja könnte jemand Ihre Kennwörter nehmen. Das Unterschreiben deiner Apk wird keinen Unterschied machen.

Sie können Ihre Kennwörter sichern, indem Sie Hashes in der APK speichern. Auch wenn jemand Ihren Code dekompiliert und die Hashes verwendet, können sie nichts damit anfangen, da sie immer noch nicht den Klartext an die App senden können.

Wenn Sie nur den Zugriff auf Ihre signierte App kontrollieren müssen, dann sollte das gut genug sein. Es hindert einen Angreifer jedoch nicht daran, die signierte Apk zu dekompilieren, zu modifizieren und in eine nicht signierte zu übersetzen. Es gibt keine zuverlässige Möglichkeit, dies zu stoppen, da es keine Möglichkeit gibt, die Piraterie von Videospielen zu stoppen. Aber Techniken wie die Verschleierung können helfen.