Могу ли я декомпилировать подписанное и установленное приложение для Android?

Question

Мне нужно сохранить некоторые пароли в приложении для Android. У меня нет пути, поскольку это конкретное приложение не может выполнять аутентификацию с удаленного сервера.

Я смотрел на эту декомпилятором:

http://www.javadecompilers.com/apk

еще, у меня есть простой вопрос, который я вижу разные ответы в Интернете. Возможно, хакер может запустить устройство моего клиента, получить приложение (я предполагаю, что apk находится внутри устройства где-то), запустить декомпилятор и посмотреть пароли?

Обратите внимание, что это производственное приложение и будет подписано и установлено через магазин google. Это не просто неподписанный apk, плавающий вокруг.

спасибо.

Answer 1

Да, кто-то может взять ваши пароли. Подписание вашего апка не изменит ситуацию.

Вы можете защитить свои пароли, сохранив хэши в APK. Тогда даже если кто-то декомпилирует ваш код и берет хеши, он ничего не может с ними сделать, поскольку у них все еще не будет обычного текста для отправки в приложение.

Если все, что вам нужно сделать, это контролировать доступ к вашему подписанному приложению, то это должно быть достаточно хорошим. Хотя это не мешает злоумышленнику декомпилировать подписанный apk, модифицировать его и перекомпилировать в неподписанный. Нет надежного способа остановить это, так как нет возможности остановить пиратство в видеоиграх. Но методы, подобные обфускации, могут помочь.