Meine Anwendung verwendet eine Reihe von API-Schlüsseln und URLs, die Benutzern nicht angezeigt werden können. Ich habe sie direkt in den Code eingefügt, manchmal eingebettet in die Methode, die sie verwendet, und manchmal in einer Klasse namens MyVals, die häufig verwendete Strings und Zahlen speichert.
z.B.:
%Vor%Ist das sicher? Macht es einen Unterschied, wenn ich meine APK mit Proguard erstelle? Was ist die beste Vorgehensweise dafür?
Es ist absolut nicht sicher, empfindliche Strings in Ihren Code einzubetten. Proguard verschleiert die Klassen- und Methodennamen, aber alle definierten Strings bleiben vollständig unverändert. Hier ist ein Beispiel aus einer App, die ich Proguard durchlaufen habe. Sie können sehen, dass die Methoden- und Klassennamen verschleiert sind, aber die Strings (wie sie sein müssen) sind unverändert.
Hier ist der ursprüngliche Code:
%Vor%Und der verschleierte Code, der leicht von JD-GUI erhalten werden kann:
%Vor%Wenn Sie vertrauliche Daten in einer Zeichenfolge in Ihrer App einbetten, kann und wird dekompiliert .
Tags und Links java android encryption proguard code-access-security