android - 在 Android 应用程序中存储机密和凭据
问题描述
我正在使用 AWS Cognito,我需要在我的 android 应用程序中的某处存储一些凭证和机密,以便以后使用它们来登录/注册/注销用户。
一些消息来源建议将凭据存储在项目gradle.properties文件中。从那里,凭据将被检索为BuildConfig.FIELD_NAME
. 我可以 100% 确定在逆向工程时不能从 apk 中提取这些内容吗?
我正在考虑的另一种方法是使用非对称加密算法(使用公私钥)加密凭据,并在需要时在运行时对其进行解密,但同样,我需要将公钥存储在我的应用程序内的某个位置以解密证书。这不再起作用,因为可以通过反编译 apk 来提取公钥。
我已经对此进行了大量研究,但在这种情况下我没有发现任何可以帮助我的东西。几乎每篇文章都提到如何存储密码等凭据,但情况不同,因为我没有在运行时从服务器或任何地方检索我的秘密和凭据。调用 API 来获取凭证又是一件坏事。
那么,我怎样才能尽可能安全地做到这一点呢?我在等你的解决方案!谢谢
编辑: 密钥库并没有真正起作用,因为在将它们添加到密钥库之前我必须从某个地方获取秘密
解决方案
这实际上完全取决于您需要或希望您的应用程序有多安全,以及这些凭据有多敏感。由于无法从服务器端存储和检索它们,因此最好的办法是将它们嵌入代码中的某个位置。APK 可以很容易地被反编译,因此您的凭据将始终以某种方式访问。真正的问题是您希望反转过程有多困难。
从那里,凭据将作为 BuildConfig.FIELD_NAME 检索。我可以 100% 确定在逆向工程时不能从 apk 中提取这些内容吗?
我 100% 确定它可以被找回:)。Java 不会加密任何字符串,它们都将作为原始文本存储在 dex 文件中,准备好进行 grep 处理。
从那里开始,您的下一步将是使用静态密钥加密代码中的密钥。一些工具会为您做到这一点,例如 DexGuard、Dasho、Dexprotector——您也可以提出自己的解决方案。这篇文章很好地解释了它。
请记住,您自己的解决方案或第三方工具提供的解决方案都可能很容易逆转:请参阅DexGuard示例。另请注意,在运行时解密时,这些凭据将在设备的 RAM 中清晰可见,从而允许调试器轻松读取它们。
您的下一个最佳选择是在本机代码中使用加密字符串:更难逆转和追踪,但仍然可行。
然后,您可以使用白盒密码术,再次使用 Inside Secure 提出的第三方工具。这实际上会将加密算法和密钥混合到混淆的本机代码中,这可能会让您难以逆转和难以调试加密/解密方法。在这里,您只会在应用程序中包含加密的凭据,并且它们将在白盒内安全地解密。白盒通常非常安全(但并非不可能破解),但一旦解密,凭据将在设备的内存中清晰可见。这将更彻底地防止简单的反编译。
然后...如果不涉及硬件解决方案(KeyStore、嵌入式安全元件)和服务器来备份所有内容,我认为您不能走得更远。
推荐阅读
- sql - 为什么不能批量插入格式 csv?
- c# - 使用 C# 将 SAS 日期时间值转换为数据表中的日期时间字符串
- java - Selenium 在并行运行测试时处理 ProtocolHandshake 错误
- javascript - 刷新后 vuejs 道具未定义
- c++ - 如何在 C++ 中对接口/超类型进行编程?
- formbuilder - 如何使用 go_block 在 oracle 表单生成器中创建搜索查询按钮?
- r - 如何删除字符串中包含“.com”但有链接的所有内容?
- python - 将行复制到另一个数据框
- google-apps-script - 发送数据到服务器机器
- android - E/HmsSiteKit_TextSearchTaskApiCall_270: responseErrorCode errorCode = 10001