Возможно ли декомпилировать мобильное приложение?

Question

[MakarkinPRO]

Вопрос. Разрабатывая мобильное приложение на ReactNative и прописываю там доступы к Бэкенду - если возможность у людей скачавших его декомпилировать, извлечь данные аутентификации и воспользоваться ими вовред?

Или данные в исходниках надежно зашифрованы?

Answer 1

[Александр]

да запросто - простым блокнотом можно увидеть все стороковые присвоения.

Comments

[MakarkinPRO]

есть рекомнедации как защититься?

[mitaichik]

MakarkinPRO: Если у вас параметры аутентификации вшиты в приложение - защититься никак, тут это много раз обсуждалось.

[MakarkinPRO]

mitaichik: ок а так и не задумывался. Но спасибо буду иметь ввиду. А когда юзер вводит логин и пароль, они же получается хранятся в телефоне... их какой-то вирус может вытянуть? там данные не особо серьезные, просто сам факт аутентицикаци... но также интересно

[mitaichik]

MakarkinPRO: По хорошему вы не должны сохранять пароль\логин: вы должны провести аутентификацию на своем бекенде, который должен вернуть ключ по которому потом и проверяется аутентификация.

В любом случае (храните ли вы ключ или пароль\логин) их нужно защищать. В первых, можете хранить их в SharedPreferences c MODE_PRIVATE - это ограничит доступ к ним извне вашего приложения. Другое дело что это не поможет если устройство рутованное. Поэтом стоит их еще и зашифровать, сохраняя ключ в KeyStore (android 4.3+). Тогда будет куда сложнее взломать, но тоже реально.

Лично я в приложении запрещаю сохранять кртичные важные, если устройство рутованное. Если нет - шифрую их на сессионном AES + ключ шифрую на RSA а уже его ключ сохраняю в KeyStore. Но у меня там персональные данные - хз будлет ли оправданно такое для вашего случая.

[MakarkinPRO]

Нет нет) там про рутированные речь не идет. Я про обычных юзеров, которые на уровне пользование с телефоном) Спасибо понял.

Answer 2

[GavriKos]

Если вы сами их надежно не зашифровали - то константы не зашифрованы.

Comments

[MakarkinPRO]

а это как?)

[GavriKos]

MakarkinPRO ну например генерировать данные аутентификации алгоритмически. Можно шифрование с ключом, ключ - на сервере. Вариантов много. Но правильнее наверное шифровать передаваемые данные, а не константы. Вариантов много, гугл в помощь.