Android: fichiers .java lisibles à partir du fichier .apk?

Question

Je suis actuellement en train de développer une application pour une entreprise qui comprend le livescoring. Les fichiers XML auxquels j'accède (sur le net comme: "http://company.com/files/xml/livescoring.xml") ne sont pas destinés à être publics et ne devraient être connus que de moi. Je me demandais si quelqu'un pouvait décoder le fichier .apk et lire mes fichiers .java d'origine (qui incluent le lien vers les fichiers XML). J'ai donc renommé le fichier .apk en .zip et j'ai pu accéder à "classes.dex", qui semblait inclure les fichiers .java (ou classes). Googling m'a conduit à un outil nommé "AvaBoxV2" qui décode ce fichier "classes.dex". Maintenant, j'ai un dossier contenant un dossier "out" où les fichiers nommés .smali existent. J'opte l'un d'entre eux avec un éditeur et enfin il y a le lien vers le fichier xml. Pas bon. :(

est-il un moyen de chiffrer mon application ou le fichier classes.dex? Je ne veux pas dire que la société, que tout le monde peut accéder aux fichiers XML d'origine. Peut-être que la signature de l'application aide probablement

?

aussi, savez-vous vraiment Noob convivial tutoriel pour préparer des applications (signature, versioning, ...) pour Google Market?

Merci à l'avance!

Answer 1

Le code source .java ne figure pas dans l'APK

Il est possible de démonter le D alvik bytecode en bytecode mnemonics en utilisant un outil comme baksmali, mais il n'y a aucun moyen pour un utilisateur de récupérer la source .java d'origine.

De plus, vous pouvez utiliser un outil comme proguard (inclus dans le SDK Android) pour obscurcir votre code d'octet, ce qui rend difficile l'interprétation du comportement du bytecode démonté. Vous pouvez également créer des petites astuces, comme stocker la chaîne de liens sous une forme obfusquée, puis la désobstruer lors de l'exécution dans votre application (un exemple simple serait d'utiliser l'encodage en base 64, mais quelqu'un pourrait probablement inverser cela rapidement s'ils le voulaient). Cela dit, il est assez trivial pour quelqu'un d'exécuter tcpdump et de sniffer le trafic réseau entre votre appareil et le serveur, et obtenir l'URL de cette manière, donc il n'y a aucun moyen d'empêcher complètement quiconque d'obtenir cette valeur.

Answer 2

Oui, il est impossible d'empêcher complètement quelque chose comme ça. C'est la même chose sur une application de bureau, ou toute autre application. Comme mentionné précédemment, l'obscurcissement aidera, mais les personnes qui persistent peuvent toujours le dépasser. Surtout pour quelque chose comme une url comme ça. Une solution pour rendre les choses beaucoup plus compliquées pour les pirates est d'utiliser PHP sur votre serveur web et une sorte de système de token pour déterminer si la requête provient de votre application ou pas ... Cela devient un peu difficile, donc je ne le suggère pas vraiment.