最近比较关注安全问题,项目中确实存储了一些第三方的key和id之类的参数,都是已静态字符串的方式存储在java中,感觉不太安全,dex反编译就会被他人知道,于是这几天一直在找有关这方面的资料,以下是在网上看到的几种安全存储方案
1、拆分存储法
将字符串拆成几个部分分别存储在不同的地方,组合后即可用
- 如 将字符串拆成数个部分,分别存储在java代码中、String.xml、Gradle中
- 反编译需要反编译 dex获取java代码,通过R.class和反编译资源文件获取String.xml内容,通过BuildConfig.class 对照获取Gradle存储的文件
AppId的拆分,我这里只是简单拆分一下,可以在拆分的字符中加点盐,或加密算法,以增加算法的复杂度,加大反编译难度
//appId = 45fdf245fds2af1d5sfs2d1;
public static String appIdPar1 = "45fdf245";
<string name="appIdPar2">fds2af1d</string>
buildConfigField "String", "appIdPar3", "\"5sfs2d1\""
获取appId
public void getAppId(){
return new StringBuffer().append(appIdPar1).append(getString(R.string.appIdpar2)).append(BuildConfig.appIdPar3)
}
详细资料:http://blog.csdn.net/qq_23547831/article/details/51953926
方案特点:加密逻辑简单,但需要对每个字符串进行拆解,工作效率不高,逆向获取工作量加大一些,难度不大
2、字符串加密法
使用StringFog对Dex字符串进行加密,使得别人无法直接看到你的明文,加上java的混淆机制,加大了寻找关键字符和反编译的难度
StringFog是一个开源的对Dex字符串加密的库,地址:https://github.com/MegatronKing/StringFog
方案特点:对java中所有字符串加密,配上java的混淆,反编译查找需要的字符比较困难,但是加密算法在java代码中及秘钥是明文,弄清其加密方案依旧可以将密文一一解码
3、so文件存储方案
1.将字符串进行分段加密写入cpp文件中(这里加密是防止一些逆向者使用IDA破解后直接获得明文)
2.编写获取该字符串的jni方法,最好在jni方法中加上Apk签名验证防止他人直接使用so文件获取字符串
3.在so文件中添加无关代码,增加静态解析难度
4.在java中调jni方法获取字符串
类似方案 Android 密钥保护
方案特点:需要会jni编程,安全系数相对较高
