时间戳

首页 > 解决方案 > 在 Android 应用程序中存储机密和凭据

android - 在 Android 应用程序中存储机密和凭据

问题描述

我正在使用 AWS Cognito,我需要在我的 android 应用程序中的某处存储一些凭证和机密,以便以后使用它们来登录/注册/注销用户。

一些消息来源建议将凭据存储在项目gradle.properties文件中。从那里,凭据将被检索为BuildConfig.FIELD_NAME. 我可以 100% 确定在逆向工程时不能从 apk 中提取这些内容吗?

我正在考虑的另一种方法是使用非对称加密算法(使用公私钥)加密凭据,并在需要时在运行时对其进行解密,但同样,我需要将公钥存储在我的应用程序内的某个位置以解密证书。这不再起作用,因为可以通过反编译 apk 来提取公钥。

我已经对此进行了大量研究,但在这种情况下我没有发现任何可以帮助我的东西。几乎每篇文章都提到如何存储密码等凭据,但情况不同,因为我没有在运行时从服务器或任何地方检索我的秘密和凭据。调用 API 来获取凭证又是一件坏事。

那么,我怎样才能尽可能安全地做到这一点呢?我在等你的解决方案!谢谢

编辑: 密钥库并没有真正起作用,因为在将它们添加到密钥库之前我必须从某个地方获取秘密

标签: androidamazon-web-servicessecurityencryptioncredentials

解决方案

这实际上完全取决于您需要或希望您的应用程序有多安全,以及这些凭据有多敏感。由于无法从服务器端存储和检索它们,因此最好的办法是将它们嵌入代码中的某个位置。APK 可以很容易地被反编译,因此您的凭据将始终以某种方式访问​​。真正的问题是您希望反转过程有多困难。

从那里,凭据将作为 BuildConfig.FIELD_NAME 检索。我可以 100% 确定在逆向工程时不能从 apk 中提取这些内容吗?

我 100% 确定它可以被找回:)。Java 不会加密任何字符串,它们都将作为原始文本存储在 dex 文件中,准备好进行 grep 处理。

从那里开始,您的下一步将是使用静态密钥加密代码中的密钥。一些工具会为您做到这一点,例如 DexGuard、Dasho、Dexprotector——您也可以提出自己的解决方案。这篇文章很好地解释了它。

请记住,您自己的解决方案或第三方工具提供的解决方案都可能很容易逆转:请参阅DexGuard示例。另请注意,在运行时解密时,这些凭据将在设备的 RAM 中清晰可见,从而允许调试器轻松读取它们。

您的下一个最佳选择是在本机代码中使用加密字符串:更难逆转和追踪,但仍然可行。

然后,您可以使用白盒密码术,再次使用 Inside Secure 提出的第三方工具。这实际上会将加密算法和密钥混合到混淆的本机代码中,这可能会让您难以逆转和难以调试加密/解密方法。在这里,您只会在应用程序中包含加密的凭据,并且它们将在白盒内安全地解密。白盒通常非常安全(但并非不可能破解),但一旦解密,凭据将在设备的内存中清晰可见。这将更彻底地防止简单的反编译。

然后...如果不涉及硬件解决方案(KeyStore、嵌入式安全元件)和服务器来备份所有内容,我认为您不能走得更远。

推荐阅读