Masquer les chaînes sensibles dans un code obscurci

Obscurcir le code pour protéger les informations propriétaires est une pratique courante, mais des yeux avertis peuvent toujours découvrir des chaînes cachées. Pour dissimuler efficacement les données sensibles, envisagez les techniques suivantes :

Encodage ou cryptage

Si l'objectif est de dissuader une inspection occasionnelle, l'encodage peut suffire. La classe android.util.Base64 offre une méthode pratique. Cependant, le codage offre une sécurité négligeable.

Pour une protection renforcée contre les attaquants, un chiffrement symétrique avec un chiffrement tel qu'AES est recommandé. La classe javax.crypto.Cipher fournit un exemple de son utilisation.

Chiffrement et déchiffrement manuels

Implémentez le chiffrement et le déchiffrement manuellement en suivant ces étapes :

1. Chiffrez la chaîne avec une clé connue.
2. Mettez à jour le code pour utiliser la version déchiffrée de la chaîne (par exemple, utilisez MyDecryptUtil.decrypt(encrypted, key) au lieu de mySecret = "http:// example.com").

Solutions DRM tierces

Envisagez d'utiliser des solutions DRM tierces comme le serveur de licences de Google. Elles offrent des avantages potentiels en matière de sécurité par rapport aux solutions auto-rollées, mais présentent toujours des limitations similaires au chiffrement et au déchiffrement manuels.

Chaînes de classe R

Les chaînes de classe R que vous avez mentionnées dans votre code sont des références à des ressources. Les obfuscateurs comme ProGuard ne masquent pas la classe R elle-même mais plutôt les références aux ID de ressources. Ils conservent le même numéro mais modifient le mappage qui pointe vers la ressource réelle.

Dans ce cas, 2130903058 fait référence à un fichier de mise en page. Sans la classe R décompilée, vous ne pouvez pas récupérer directement la ressource qu'elle représente, mais il s'agit toujours d'une adresse vers les données binaires de la ressource.