Android - Decompiler und Sicherheit?

[Extremefall]

Hallo,
ich habe ein kleines Programm geschrieben. Dieses arbeitet mit FTP Servern. So wird aus dem Programm eine Datei hochgeladen. Nun sind die Zugangsdaten dort hart rein geschrieben. Jetzt habe ich eine Frage zur Sicherheit dieser Daten.

Lässt sich die APK Datei denn dekompilieren und sich so die Zugangsdaten kinderleicht auslesen? Oder kann man das verhindern? Bei einer normalen Debug APK ist dieses ja scheinbar möglich. Wie sieht es mit einer signierten APK Datei aus? Wie kann man verhindern, dass die Daten zur Verbindung durch Dekompiler auslesbar sind oder gibt es da keine Probleme bezüglich der Sicherheit?

 

[TheDarkRose]

Da reicht schon das Sniffen des Netzwerkverkehrs und ich hab die Zugangsdaten.

FTP/MySQL Zugriff in Anwendungen ist generell unsicher. Wurde hier auch schon sehr oft diskutiert.

 

[Extremefall]

Ich habe gerade einen älteres Thema gefunden. Dort wurde NDK angesprochen. Wäre das vielleicht eine Lösung? Ich kenne mich leider damit noch überhaupt nicht aus. Oder was ist zu empfehlen? FTP wäre schon sehr hilfreich. Wieso ist mysql unsicher? Auch, wenn das Passwort in ein Script gelagert wurde auf dem Server und nur die Daten per POST Request übermittelt werden?

 

[blackfire185]

Alles was unverschlüsselt übertragen wird kann beim sniffen abgefangen und im klartext gelesen werden. Du musst midestens eine verschlüsselte verbindung benutzen.

Gesendet von meinem GT-S5660 mit der Android-Hilfe.de App

 

[TheDarkRose]

Wieso ist mysql unsicher?

Aus der Clientapplikation schon. Serverseitig ist was anderes, wenn Webservices im Spiel sind. Wenn du schon Webservice hast, kann der Dateiupload auch über diese geschehen, anstatt über FTP

 

[Extremefall]

Danke, ich werde also lieber zu PHP Skripten greifen. Die Skripte überprüfen dann die eingehenden Daten nochmals und so kann auch kein Schaden angerichtet werden.

 

[TheDarkRose]

Jap, wobei nicht irgendwas hinfrickeln, sondern anständige Webservices schreiben. Wenn man Symfony2 verwendet kann ich diesen Artikel empfehlen: REST APIs with Symfony2: The Right Way

 

[GENiALi]

Da reicht schon das Sniffen des Netzwerkverkehrs und ich hab die Zugangsdaten.

Aber was wenn man SFTP verwendet, das Gegenstück zu HTTPS? Ein Sniffer shnappt die Packete ja auf Netzwerkseite ab. Dort wäre dann schon alles Verschlüsselt.

Aber trotzdem. Ein APK zu decompilieren ist keine Exerei. Wer sich einwenig damit auskennt kommt auch an die verschleierten Daten ran. Dann nützt auch SFTP nichts.

Ich würde es, wie auch erwähnt wurde, mit einem Webservice lösen.

 

[TheDarkRose]

SFTP ist was anderes. Filetransfer über SSH.
Du meinst wohl FTPS. Also FTP over SSL/TLS. Verwenden zum einen die wenigsten Server, zum anderen komme ich über dekompilieren auch an die Zugangsdaten ^^