响应本机安全Android

Question

我反向设计了我的react本机版本签名应用程序，现在我可以在资产目录中看到索引包中的所有js代码，这些代码只是混淆而不是加密。我不想让人看到我的密码。我反向工程了一个应用程序在游戏商店，是由反应-本地，但我看不到js捆绑。所以有可能让它安全吗？如果是的话，怎么做？

Answer 1

据我所知，防止逆向工程的最佳方法是混淆代码。

如果您在RN的项目上检查这个GitHub PR，您会发现将jsbundle嵌入到base64中有很大的推动作用，但正如其中一个开发人员所指出的：

我非常反对这样做，因为它不加密任何代码--加密!=编码--而且“客户端秘密”通常是自相矛盾的。虚假的安全感通常是不好的。 如果您对网站的工作方式(向客户端发送JS/WASM，在服务器上保密)表示满意，那么RN在重要的方面也是一样的。

后来，公共关系的提交人说：

似乎不是一个好的解决方案，仍然是超级容易破解(这甚至记录了现在;)

如果您愿意，可以阅读关于在read 这里中加密JS包的讨论。

保护代码部分的最佳选择是在客户端完全不使用它。如果您有必须保护的关键代码片段，则将它们保留在体系结构的后端部分，这实际上是确保代码不会被查看和复制的唯一方法。我喜欢的文章甚至引用了这个想法：

想象一下，你有一个独特的算法。你显然不想让逆向工程师从你的产品里偷出来。因此，您可以移动该算法，使其处理远程服务器上的数据，并使用应用程序为其提供数据。

你也可以检查安卓应用程序的ProGuard (多一个链接)，但我不知道如何将它与React集成。但即使如此：

ProGuard还通过混淆类、字段和方法的名称，提供了防止逆向工程的最小保护。

希望这能有所帮助。

Answer 2

我尽可能地将js代码以云函数的形式放置，并将它们放在火基上。我试着让我的应用程序尽可能的像一个数据显示工具。

Answer 3

如果你必须保留重要的算法，你不能真正迁移到后端，那么混淆将是你最好的选择。像丑js这样的免费工具可能就足够了，但是您也有专注于混淆和提供反调试特性的企业级工具，比如置乱器。