Seguridad en app desarrolladas que utilizan claves

Alemanarg · #1 (**permalink**) 05/06/2012, 08:05

Hola a todos!!!
Quisiera preguntar si alguien sabe de seguridad en Android, y de los programas que uno puede hacer que contengan algun tipo de clave.
He visto que a partir de un .apk se puede descomprimir y obtener parte del codigo. Es posible obtener todo el codigo asi como tambien posibles claves que se encuentren dentro del mismo?

Por ejemplo, si usara:
ftp.connect("server address", 21, "username", "pwd");
Uno que puede acceder al codigo podria ver el server, el user, el password y entrar al mismo y hacer lo que desee.

Si yo la publico en el market, existe alguna posibilidad de que se obtenga el .apk, y descomprimirlo? O en el market solo se ejecuta, se instala y listo?

Espero que se haya entendido.

Muchas gracias!!!

zero_master · #2 (**permalink**) 05/06/2012, 12:46

O_o... si tu conoces el dichoso programa que apartir del .apk sacar codigo mencionalo para darle una probada y checar esos detalles, hasta donde yo se eso es imposible, ademas aunque leyendo el codigo sepa que contiene no podria tener acceso a la base de datos ya que la mayoria de peticiones de informacion como username y pwd son datos que se envian y se elimina rastro alguno no se almacena y si en dado caso la aplicacion almacena esos datos la verdad pues que mal programado esta.

Alemanarg · #3 (**permalink**) 05/06/2012, 12:55

No las he probado, pero hay quienes dicen que a partir del .apk se puede descomprimir.
Respecto a los accesos, como se haria para pasar un user o pass para que funcione la aplicacion sin que esta este dentro del .java?
Lo unico que se me ocurre en este momento es agregarla como string, que acceda "indirectamente" digamos. Pero no existe otra manera. O si??

gracias!

Alemanarg · #4 (**permalink**) 05/06/2012, 14:02

mas aún...
Si me conecto y paso una direccion .php (para que de ahi se conecte a una BD), como se oculta esa direccion? Porque yo si veo eso, puedo acceder al archivo y ahi esta la clave de usuario y pass...

javih · #5 (**permalink**) 05/06/2012, 16:04

El .apk no es más que un zip, así que imagínate...

javih · #6 (**permalink**) 05/06/2012, 17:28

Todo lo que tienes hardcode en la app (cuentas, passwords...) debería de estar encriptado (mejor que no esté, pero si está que lo esté), luego deberías de utilizar SSL para las conexiones para que no puedan sniffar los datos que se envían y reciben y para evitar la ingeniería inversa se utiliza Proguard (la versión 4.8 funciona con Oracle JDK 7). Hay un tutorial en android developers de como habilitarlo y en la web de Proguard.

javih · #7 (**permalink**) 05/06/2012, 17:35

Cita:

Iniciado por zero_master

O_o... si tu conoces el dichoso programa que apartir del .apk sacar codigo mencionalo para darle una probada y checar esos detalles, hasta donde yo se eso es imposible, ademas aunque leyendo el codigo sepa que contiene no podria tener acceso a la base de datos ya que la mayoria de peticiones de informacion como username y pwd son datos que se envian y se elimina rastro alguno no se almacena y si en dado caso la aplicacion almacena esos datos la verdad pues que mal programado esta.

La verdad es que hay varias herramientas para eso:

http://code.google.com/p/android-apktool/

http://code.google.com/p/dex2jar/

ya lo de la db es otra cosa.

Alemanarg · #8 (**permalink**) 08/06/2012, 13:33

Se podrá utilizar un hash dentro de java para proteger contraseñas o direcciones?