Articles of Безопасность для

Как безопасно сохранять секретный ключ в android

Я просто прочитал эту статью http://android-developers.blogspot.in/2013/02/using-cryptography-to-store-credentials.html, где я научился генерировать ключ безопасности. Я хочу знать, как безопасно сохранить этот сгенерированный ключ, так что хакеры не получат этот четный телефон. Если мы сохраним этот SharedPreference , Storage то хакер может это получить. Благодарю.

Предотвращение декомпиляции андроида apk

Я создаю приложение для Android и ios, и я уже знаю, что теоретически можно декомпилировать приложение для Android. Приложение содержит конфиденциальную информацию, которую я не хочу, чтобы пользователи имели доступ к интерфейсу приложения с веб-сервером. Если пользователь получил доступ к некоторой информации, доступной в исходном коде, они могут потенциально спамить мой веб-сервер с запросами. Есть […]

Позволяет только моим приложениям для Android запускать API конечной точки в java

Я создал конечную точку apis, но проблема в том, что любой, у кого мой идентификатор проекта, может перейти в api explorer и выполнить эти apis. Я положил только идентификатор клиента Android (используя хранилище отладки) поверх объявления класса конечной точки, но все же я могу перейти в режим инкогнито и выполнить apis. Как я могу ограничить […]

Android Keystore getEntry () и generateKeyPair () throw Исключения иногда

Моему Android-приложению необходимо зашифровать файл, чтобы он мог расшифровать и прочитать его позже. Это не должно быть расшифровывается любым другим, кроме приложения, даже пользователем. Вот как я делаю шифрование и дешифрование. Это работает большую часть времени, но несколько раз для некоторых пользователей это не работает. Это не относится к конкретному телефону (Nexus7, Samsung, Motorola, HTC […]

Как проверить, существует ли класс в пакете?

В настоящее время я занимаюсь конкретной проблемой с моим платным приложением. Внутри он содержит проверку лицензирования. Приложение исправлено хакерами, изменив приложение apk / jar. Они добавляют новый класс, который помогает обойти проверку лицензирования. Моя цель – как-то проверить этот конкретный патч. Если я нахожу это, я знаю, что мое приложение было скомпрометировано. Любые советы о […]

Oauth 2.0: идентификатор клиента и секрет клиента раскрыты, это проблема безопасности?

Когда клиентское приложение Android oauth 2.0 имеет свои учетные данные (идентификатор клиента и клиентский секрет), очень легко декомпилировать приложение и получить учетные данные. Каковы последствия раскрытия идентификатора клиента и секретности ?

Как защитить строку в приложении Android?

Как защитить строку в приложении Android? Опции: ProGuard: Он не защищает строку? Работает ли proguard для обфускации статических строковых констант? Шифрование строки: для шифрования Мне нужно хранить ключ шифрования (строку) где-то там, где и снова это одна и та же проблема, как защитить ключ шифрования. Извлечь строку из веб-службы: но это решение не будет работать […]

Как безопасно хранить учетные данные (пароль) в приложении Android?

Я хочу сохранить пароль, используемый для подписания в финансовом приложении, которое я разрабатываю в безопасном месте. После некоторого сетевого серфинга я нашел следующие варианты, но каждый из них имеет определенный недостаток. 1) KeyChain. Доступно только в ОС версии 4. 2) Общие настройки. Он хранит данные в обычном тексте, хотя, если я шифрую данные, тогда ключ […]

Как остановить атаку hack / DOS на веб-API

На прошлой неделе мой сайт испытывал отказ в обслуживании / хакерскую атаку. Атака поражает наш веб-API со случайно генерируемыми недействительными ключами API в цикле. Я не уверен, что они пытаются угадать ключ (математически невозможно, как 64-битные ключи) или пытаться атаковать сервер DOS. Атака распространяется, поэтому я не могу запретить весь IP-адрес, как это происходит от […]

Должен ли я запутывать секрет пользователя OAuth, хранящийся в приложении Android?

В моем Android-приложении содержится секретный секрет пользователя OAuth для API Twitter. На данный момент он находится в файле .properties в текстовом виде, поэтому для APK требуется поиск нулевого усилия. Должен ли я предпринимать шаги, чтобы скрыть его (например, rot13 или сохранить в запутанном Java-коде)? Или я должен вообще избегать этого, поскольку это создало бы ложное […]