App - Sourcecode sicher bzw. schützen?

[funcoder]

Hallo Zusammen,

Normalerweise, wenn ein App aus dem Market vom Handy installiert wird bekommt der Benutzer die eigentliche apk file ja nie zu sehen.
Wenn ich allerdings mein App Beta Testern zu Verfügung stellen möchte, muss ich ja wohl die signierte apk file direkt bereitstellen.

Meine Frage ist daher: Ist es möglich aus der apk File wieder Java Code zu generieren. Bzw. wie kann man sich davor effektiv schützen?

Habt ihr hierfür irgedwas unternommen?

Danke schonmal!
C0der

 

[Kranki]

Die APK kriegt der Nutzer sowieso, da kannst du nichts gegen unternehmen.
Ein Decompiler, der Java-Code erzeugt, ist mir allerdings nicht bekannt. Ich kenn in dem Bereich nur baksmali, und da kommt kein Java bei raus.

 

[manu]

Man kann es decompilen. Strings (Passwörter, URLs, Benutzernamen) die man nutzt um sich beispielsweise zu einer Website zu verbinden sind dann in Klartext lesbar. Der Sourcecode ist auch einigermaßen verständlich. Jedoch handelt es sich dabei nicht um Java. Die Anwendung muss schon sehr genial sein, damit sich der Aufwand lohnt diesen katastrophalen, decompilten Code zu lesen.


Gruß Manu

 

[the_alien]

In normalen Java Applikationen wird auch gerne ein Scrambler eingesetzt der Klassen, Methoden und Variablen umbenennt. So ist ein

A a = new A();
a.a(b);

deutlich schlechter verständlich als ein

BackendConnection connection = new BackendConenction();
connection.login(password);

 

[funcoder]

Dankeschön!
Na wenn der Aufwand ziemlich hoch ist und man noch nicht einmal direkt wiederverwendbaren Code bekommt, brauch ich mir da wohl keine Sorgen machen

c0der

 

[Extremefall]

Falsch, wenn der Nutzer die APK Datei hat, lässt sich mit dem Programm dextoJar kinderleicht eine dex Datei in eine Jar Datei umwandeln und mittels jdGUI erhältst du dann den Java Quellcode. Die dex Datei erhält man schon, wenn man die Dateiendung der APK Datei ändert. Also ist es wirklich leicht auslesbar.

 

[Fr4gg0r]

lol nein

 

[lunifrw]

Falsch, wenn der Nutzer die APK Datei hat, lässt sich mit dem Programm dextoJar kinderleicht eine dex Datei in eine Jar Datei umwandeln und mittels jdGUI erhältst du dann den Java Quellcode. Die dex Datei erhält man schon, wenn man die Dateiendung der APK Datei ändert. Also ist es wirklich leicht auslesbar.

also habe das an meine eigene app mal getestet das funktioniert echt kann man das nicht verschleiern oder so das es nicht mehr möglich ist?

naja wenn man eine andere app von play.google ladet (mit handy) denn istalliert er se ja gleich also hat man so ja keine chance an der .apk zu kommen oder kommt man da auch so ran?

 

[blackfire185]

Naturlich sogar ohne root. Dafür gibts sogar apps und man kann die apk über das dateiverzeichnis finden

Gesendet von meinem GT-S5660 mit der Android-Hilfe.de App

 

[lunifrw]

achso gut ok wusste ick ne bin anfänger in android

 

[Peter123]

Wie schon gesagt zum Beispiel durch die Veränderung von Variablen und Klassennamen:

A a = new A();
a.a(b);

Eventuell auch über native Entwicklung, da dort mit .dll´s gearbeitet werden kann...da bin ich mir auch nicht sicher.

 

[DieGoldeneMitte]

In normalen Java Applikationen wird auch gerne ein Scrambler eingesetzt der Klassen, Methoden und Variablen umbenennt.

Ein solcher Scrambler namens Proguard ist beim Android SDK gleich dabei. Den sollte man schon nutzen.

Wenn man dann noch geheime Strings wie Passworter nicht als Klartext-Strings im Code hinterlegt, sondern beim Start on-the-fly dekodiert (da tuts schon ein xor oder so), dann hat man erstmal genug getan.

Der nächste Schritt wäre dann, relevante Funktionsaufrufe mit Reflection zu verbergen, echte Verschlüsselung und Funktionalität auf Server auszulagern, aber da wird es schon aufwändig. Man sollte seine Energie lieber in gute Programme stecken, als sie in der Abwehr von Hackern zu verbrennen.