我想知道的是,可以提取和编辑已签名的apk吗?攻击者可以再次压缩apk并攻击受害者吗?
我知道我们可以使用proguard来模糊代码,但有些人说apk仍然可以通过逆向工程提取和修改。
我主要担心的是我想加密我的java文件,因为我的java文件中有一些身份验证数据。
任何人都可以给我一个防弹方法来保护java文件不被访问。
编辑 -
在堆栈中找到了几个旧线程,但他们从未解释过有关签名的apk并保护它们不被利用。
答案 0 :(得分:0)
任何APK都可以解压缩并读取其来源。但是,如果没有签名密钥,则无法对其进行编辑和签名。
无法加密源文件,任何人都可以读取其中的所有内容。如果预计认证数据是秘密的,则不应将其存储在应用程序中。
答案 1 :(得分:0)
是。加密签名不是加密。签名证明签名的人知道密钥。假设密钥保持安全,您可以确保由同一密钥签名的两个文件来自同一个人。通过某些形式的公钥和私钥签名,它可以用来证明签名者的身份。这并不能提供任何防止读取数据的保护,尽管它确实提供了防止被声称为真实应用程序的假冒副本的保护(假设用户注意签名)。
没有办法做你想做的事。最后,应用程序必须由处理器或解释器运行。这意味着它需要转换为处理器理解的指令。如果您想要安全的东西,请不要将它放在客户端设备上。如果您将其发送到需要解密并使用它的设备,则无法保护它。
答案 2 :(得分:0)
签署的apks很容易被逆向工程。您不应该在源代码中放置身份验证数据。没有防弹解决方案。但是,您可以通过编码使攻击者难以进行,而不是将关键数据放在明显的位置。
答案 3 :(得分:0)
您应该使用另一种方式来使用您的身份验证数据,我已经阅读了有关构建二进制文件并将其作为.so文件存储在lib目录中的内容,我不确定它是如何完成的,因为我没有尝试了,但你可以研究另一种方法,在Java源上存储私有数据,这是不安全的。