Originally published at: http://korben.info/trouver-cles-codees-dur-application-android.html
La société Fallible a publié un article où elle explique que des applications Android présentes sur le PlayStore contiennent des clés d’authentification codées en dur. Alors bien sûr, “des clés”, c’est vague, mais ça va de la simple petite clé API pour Google Maps (inoffensive) à des clés privées pour se connecter à AWS (et permettant…
Est-ce vraiment de la fénéantise ?
Soit il faut absolument une clé d’API qui doit restée privée, auquel cas elle doit rester sur le serveur de l’application, soit c’est une clé qui ne pose aucun problème et elle peut rester dans l 'apk.
De toutes façons il n’y a pas vraiment de moyens d’empêcher ça, le code de l’APK reste de toutes façons lisible.
Au mieux on peut l’obfusquer, mais une personne suffisamment motivée et outillée pourra retrouver l’info.
Je ne vois pas de méthode qui ne soit pas hyper compliquée et qui au final sera au mieux innefficace et au pire source de bugs ou de requêtes réseau en trop.
La technique d’obfuscation qui me semble la plus sûre est d’enregistrer ses clés dans une lib native => https://www.androidsecurity.info/2016/12/15/storing-your-secure-information-in-the-ndk/