Android 静态字符串安全存储方案
来源:互联网 发布:淘宝网佛教用品 编辑:程序博客网 时间:2024/06/11 21:52
最近比较关注安全问题,项目中确实存储了一些第三方的key和id之类的参数,都是已静态字符串的方式存储在java中,感觉不太安全,dex反编译就会被他人知道,于是这几天一直在找有关这方面的资料,以下是在网上看到的几种安全存储方案
1、拆分存储法
将字符串拆成几个部分分别存储在不同的地方,组合后即可用
- 如 将字符串拆成数个部分,分别存储在java代码中、String.xml、Gradle中
- 反编译需要反编译 dex获取java代码,通过R.class和反编译资源文件获取String.xml内容,通过BuildConfig.class 对照获取Gradle存储的文件
AppId的拆分,我这里只是简单拆分一下,可以在拆分的字符中加点盐,或加密算法,以增加算法的复杂度,加大反编译难度
//appId = 45fdf245fds2af1d5sfs2d1;public static String appIdPar1 = "45fdf245";
<string name="appIdPar2">fds2af1d</string>
buildConfigField "String", "appIdPar3", "\"5sfs2d1\""
获取appId
public void getAppId(){ return new StringBuffer().append(appIdPar1).append(getString(R.string.appIdpar2)).append(BuildConfig.appIdPar3)}
详细资料:http://blog.csdn.net/qq_23547831/article/details/51953926
方案特点:加密逻辑简单,但需要对每个字符串进行拆解,工作效率不高,逆向获取工作量加大一些,难度不大
2、字符串加密法
使用StringFog对Dex字符串进行加密,使得别人无法直接看到你的明文,加上java的混淆机制,加大了寻找关键字符和反编译的难度
StringFog是一个开源的对Dex字符串加密的库,地址:https://github.com/MegatronKing/StringFog
StringFog插件对Dex字符串加密原理解析
方案特点:对java中所有字符串加密,配上java的混淆,反编译查找需要的字符比较困难,但是加密算法在java代码中及秘钥是明文,弄清其加密方案依旧可以将密文一一解码
3、so文件存储方案
1.将字符串进行分段加密写入cpp文件中(这里加密是防止一些逆向者使用IDA破解后直接获得明文)
2.编写获取该字符串的jni方法,最好在jni方法中加上Apk签名验证防止他人直接使用so文件获取字符串
3.在so文件中添加无关代码,增加静态解析难度
4.在java中调jni方法获取字符串
类似方案 Android 密钥保护
方案特点:需要会jni编程,安全系数相对较高
- Android 静态字符串安全存储方案
- Android静态安全检测 -> WebView明文存储密码
- Android移动存储方案
- Android 数据存储方案
- Android 数据存储方案
- android 数据存储安全
- 函数结果静态存储与线程安全
- Android的数据存储方案
- Android本地存储方案 SharedPreferences
- Android中的数据存储方案
- Android数据存储方案ContentProvider存储数据
- Android中的文件存储安全
- Android数据本地安全存储
- Android apk安全监测及加固方案
- 关于加密:本地用户名与密码安全的存储方案
- 常量字符串为什么位于静态存储区?
- 常量字符串为什么位于静态存储区?
- 常量字符串为什么位于静态存储区?
- 数据压缩原理与应用 Huffman编码
- Python机器学习环境安装
- bzoj3809Gty的二逼妹子序列 莫队+分块
- Redis Jedis的使用(下)
- strcpy_s与strcpy的比较
- Android 静态字符串安全存储方案
- HEARTBEAT+DRBD+NFS 高可用共享搭建
- Linux shell脚本 将数据库超时的订单号 发送给客服
- Not so Mobile UVA
- 设计模式-代理模式
- Candence16.6打开文件的问题
- vua 1660 Cable TV Network 最大流最小割 求割点
- 从宏函数到内联函数
- java中空串""与null的区别与判断