And*_*yev 6 security passwords android keystore
在Android中使用KeyStore有什么可以理解的例子吗?
我无法理解如何保护我在ROOTED设备中的Android应用程序中的密码/令牌/ anything_else不被有物理访问设备的黑客使用.
我知道我可以用一些ALIAS生成KeyPair,并使用它的私钥作为数据库密码,但我感兴趣的是:任何黑客都可以从我反编译的apk中读取这个ALIAS(因为我不能混淆别名字符串)和构建另一个使用相同的ALIAS从Android KeyStore获取privateKey的应用程序?
有解决方案吗
我真的不明白如何才能保护 Rooted 设备中 Android 应用程序中的密码/令牌/anything_else 不被对设备有物理访问权限的黑客使用。
你不能。客户端的真实性不是服务器的问题。
假设您在应用程序中存储加密值,而不是直接存储该值。解密这个值的钥匙在哪里?应用程序必然需要解密该值。现在,黑客所需要做的就是下载您的 .apk,将其插入 Lobotomy,他们就会很快弄清楚发生了什么。
如果您想向运行您的软件的人隐藏敏感信息,您最好永远不要将敏感信息放置在设备本身上。