Ocultando strings confidenciais em código ofuscado

Ofuscar código para proteger informações proprietárias é uma prática comum, mas olhos perspicazes ainda podem descobrir strings ocultas. Para ocultar dados confidenciais de maneira eficaz, considere as seguintes técnicas:

Codificação vs. criptografia

Se o objetivo é impedir a inspeção casual, a codificação pode ser suficiente. A classe android.util.Base64 oferece um método conveniente. No entanto, a codificação fornece segurança insignificante.

Para uma proteção mais forte contra invasores, recomenda-se a criptografia simétrica com uma cifra como AES. A classe javax.crypto.Cipher fornece um exemplo de seu uso.

Criptografia e descriptografia manuais

Implemente a criptografia e a descriptografia manualmente seguindo estas etapas:

1. Criptografe a string com uma chave conhecida.
2. Atualize o código para usar a versão descriptografada da string (por exemplo, use MyDecryptUtil.decrypt (criptografado, chave) em vez de mySecret = "http://example.com").

Soluções DRM de terceiros

Considere usar soluções DRM de terceiros, como o servidor de licenciamento do Google. Eles oferecem possíveis benefícios de segurança em relação às soluções auto-fabricadas, mas ainda têm limitações semelhantes à criptografia e descriptografia manuais.

Strings de classe R

As strings de classe R que você mencionou em seu código são referências a recursos. Ofuscadores como o ProGuard não ofuscam a classe R em si, mas sim as referências aos IDs de recursos. Eles mantêm o mesmo número, mas alteram o mapeamento que aponta para o recurso real.

Neste caso, 2130903058 faz referência a um arquivo de layout. Sem a classe R descompilada, você não pode recuperar diretamente o recurso que ela representa, mas ainda é um endereço para os dados binários do recurso.