#android #android-security
#Android #android-безопасность
Вопрос:
Мне было интересно, каким должен быть идеальный способ размещения ключей API, солей или даже закрытых ключей для шифрования и отправки их вместе с APK. Проводя исследование по этому вопросу, я увидел пару методов, широко используемых для размещения некоторых из этих деталей:-
-
Поместите эту информацию в gradle.properties — это самое простое решение для размещения этих деталей, но оно совсем не безопасно. Информация, хранящаяся здесь, может быть легко извлечена из APK.
-
Сохраните это в cpp — Создайте файлы CPP в кодовой базе, где размещены эти сведения, и напишите JNI для извлечения этих сведений при необходимости. Это затрудняет для злоумышленника извлечение этих данных, но они по-прежнему извлекаемы
Я прочитал пару сообщений, в которых рекомендуется использовать хранилище ключей для безопасного хранения этой информации, но, увидев реализацию в нескольких местах, я сделал вывод, что она обычно хранит значения во время выполнения, и я не нашел никаких подробностей о том, как отправить некоторые соли или ключи API вместе с APK. Я хотел знать, есть ли какой-либо способ безопасного размещения солей, ключей API и т.д. Вместе с поставляемым APK. Или мы можем каким-то образом использовать Keystore для этого. Любая помощь или предложение будут действительно оценены. Спасибо!
Комментарии:
1. Я всегда храню свой ключ в cpp. В чем проблема с этим??
2. @elhamdabiri Вы можете ознакомиться с этой статьей для получения подробной информации. rammic.github.io/2015/07/28/hiding-secrets-in-android-apps
Ответ №1:
Используя эту библиотеку, вы можете легко обезопасить свой API
https://github.com/MEiDIK/Cipher.so
Внимательно прочитайте там процесс установки и если у вас все еще есть какие-либо сомнения или ошибки, я вам помогу