Androidから安全に独自のWebAPIを実行する [端末にパスワード保存]

今回はAndroidの端末にパスワード(秘密鍵など)を保存しますが、Javaコードだと「初心者」でも簡単に逆コンパイルが可能ですので解析されてしまいます。Javaコードを難読化する手法もありますが、ほぼ意味がないです。

NDKを使用してC++言語のコードで書いて「.so」の共有ファイルに保存する方法があります。ですが、逆アセンブルされたら危険です。

ただ、逆アセンブルで生成されたアセンブリ言語は「熟練者」の方ではないと解析が難しいです。例として113 KBの「.so」ファイルは約2万行のアセンブリ言語となります。 ※全て読む必要はないですが。

最終的にはC++で暗号化アルゴリズムを実装、パスワード(秘密鍵)を埋め込み、デバッグ時、証明書フィンガープリント(ハッシュ)などの対策を施す。SSL/TLS通信でWebAPIにアクセス。加えてGoogle Sign-In(サインイン)でOAuth認証(オーオース)を行う。

これならば「.so」ファイルを逆アセンブルされても、OAuth認証があるので勝手にWebAPIを操作する事は不可能に近いと思います。

LVLとOAuth認証の比較

Google Sign-Inの前にLVL(License Verification Library)も調査したけど、基本的に有料アプリが対象で、さらにサーバー側の連携がない模様です。

※LVLの公式

SSL/TLS

HttpURLConnectionではなくHttpsURLConnectionを使用する。

ソースをコピー

// HTTPS通信
URL myUrl = new URL("https://www.petitmonte.com/");
HttpsURLConnection  connection = (HttpsURLConnection) myUrl.openConnection();

NDK

暗号化アルゴリズムはオープンソースを利用するか、独自で記述すると良い。DES/RC4/AESなどありますが、お好きなものを組み合わせると解析されにくいです。

パスワードのハードコーディングは避けて、配列にしたり組み合わせたりXORなどをしてあげると良いです。

Google Sign-In

Google Cloud Platformの「APIとサービス」の「認証情報」の「認証情報の作成」から「OAuthクライアントID」を選択します。Android側は「Android」(Android クライアント 1)で、サーバー側は「ウェブアプリケーション」(ウェブクライアント 1)です。2つ必要なので注意して下さい。

Android側の「SHA-1 署名証明書フィンガープリント」は証明書フィンガープリント(MD5/SHA1/SHA-256)を確認するを参照。リリース版のAPKファイルがあればAndroidのAPKファイルを逆コンパイルするでも確認可能です。

サーバー側は「承認済みのJavaScript 生成元」「承認済みのリダイレクト URI」は未記入でOKです。

OAuth 同意画面でアイコンは登録しない方が良いです。Googleの対応に時間がかかりますのでご注意ください。途中で削除(キャンセル)できません。

Google Sign-In APIを使用する場合は「家族のポリシー要件の違反」 (Violation of Families Policy Requirements)に注意して下さい。13才未満に対してこのAPIは使用できません。必然的にアプリは13歳以上となります。

OAuth認証の流れはAndroid側ではaccount.getIdToken()で「IDトークン」を取得します。それをサーバー側で受け取って$payload = $client->verifyIdToken(IDトークン)で検証します。$payload['email']でメールアドレスも取得可能です。

コードの詳細はGoogle公式サイトや検索して見てください。

参考サイト

Google Sign-In を使ってサーバー側で認証を行う
 Androidで安全にパスワードを保存する

Pocket
LINE

「アイテム課金」の概要 [Android]

公開日：2020年06月09日最終更新日：2020年12月27日

記事NO：02830

この記事を書いた人

	💻 ITスキル・経験サーバー構築からWebアプリケーション開発。IoTをはじめとする電子工作、ロボット、人工知能やスマホ/OSアプリまで分野問わず経験。画像処理/音声処理/アニメーション、3Dゲーム、会計ソフト、PDF作成/編集、逆アセンブラ、EXE/DLLファイルの書き換えなどのアプリを公開。詳しくは自己紹介へ
プチモンテ代表、アーティスト名：プチモンテ
🎵 音楽制作 BGMは楽器(音源)さえあれば、何でも制作可能。歌モノは主にロック、バラード、ポップスを制作。歌詞は叙情詩、叙情的な楽曲が多い。楽曲制作は2023年12月中旬～

オリジナル曲を始めました✨

YouTubeで各楽曲を公開しています🌈
https://www.youtube.com/@petitmonte

【男性ボーカル】DA・KA・RA | 新たな明日が風と共に訪れる

【男性、女性ボーカル】時空を超越する先に | 時空と風の交響曲

【女性、男性ボーカル】絆 | 穏やかな心に奏でる旋律

ピックアップ

Stable Diffusionのインストール方法(AUTOMATIC1111)【初心者/AIイラスト/画像生成AI/Windows/誰でもAI絵師になれる】

Webアプリ

このブログのマスターが作成した無料ツールです。

Free 疾風 - ときかぜ - (オープンソース)
ブラウザで写真などの画像を編集する

Free PDFデザイナー (オープンソース)
ブラウザでPDFファイルを編集(結合、分割、抽出、回転、しおり等)する

Free 複数画像のPDF変換
ブラウザで複数の画像を1つのPDFファイルにまとめる

Free PDFのテキスト変換
ブラウザでPDFファイルをテキストに変換する

Free PDFの画像変換
ブラウザでPDFファイルを画像に変換する

Free Exifの確認と削除 (オープンソース)
カメラで撮影した画像ファイル(JPEG)に潜むGPSなどのExif情報を確認、削除する (ブラウザ/スマホ対応)

Free エクセルのCSV変換
ブラウザでエクセルをCSVに変換する(一括変換も可能)

Free GIFアニメの作成 (オープンソース)
ブラウザで画像からGIFアニメを作成する

Free 動画のGIFアニメ変換
ブラウザで動画ファイルをGIFアニメへ変換する

Free アイコンエディタ
ブラウザでアイコンを作成、読み込み、編集する

Free 複数画像のAVI変換 (オープンソース)
ブラウザで画像/音声を動画ファイル(AVI)に変換する

Free Webカメラ動画変換
ブラウザで映像/音声を動画ファイル(AVI)に変換する

Free 音声形式の変換 (オープンソース)
ブラウザでMP3/OGG/AAC/FLAC/WAVなどの音声ファイルをWaveファイルに変換する

Free Waveファイルで効果音作成 ♪
ブラウザでWaveファイルの効果音を作成する

Free Waveフォーマット変換 (オープンソース)
ブラウザで8/16/24/32bitの相互変換。サンプリング周波数、チャンネルを変更する

Free 音声の結合 / 抽出 / 削除 (オープンソース)
ブラウザでWaveファイルを結合、抽出、削除する

Free Waveファイルの解析 (オープンソース)
ブラウザで全体の波形、再生時間、ビットレート、WaveFomat構造体を解析して表示する

Free 波形データと周波数スペクトル
ブラウザでマイクやパソコン内で流れている音声、MP3/OGG/WAVなどのファイルの周波数を解析する

Free 双2次フィルタ(BiquadFilter)
ブラウザで音声の特定周波数をカット/増幅/減衰する

Free 絶対音感
ブラウザでマイクやパソコン内で流れている音声のドレミなどの音階をリアルタイムに表示する (スマホ対応)

Free 音声録音くん
ブラウザでマイクやパソコン内で流れている音声をMP3/WAVE形式で保存する

Free iResEditor (オープンソース)
ブラウザでEXE/DLLファイルのリソースを編集する

Free Webの逆アセンブラ
ブラウザでEXE/DLLファイルを逆アセンブルする

※その他にも「プチラボ」でアプリを多数公開しています。

3Dゲーム

このブログのマスターが作成した無料ゲームです。

短時間で遊べるファンタジーのオンラインRPG風

ほのぼの癒し系のスマホアプリ

パズルゲーム

ナンプレのドン！

スマートフォン

このブログのマスターが作成したアプリです。

お主の画像減色
カメラの写真や画像ファイルを「高品質に減色」する

お主は誰だ。
AI(人工知能)が「あなたの顔はどんな芸能人、有名人に似てるか」を判定する顔診断アプリ (女性向け)

AI(人工知能)

おもちゃのAI研究室
イラストの自動着色などのAIアプリの研究室(学習用)

めえめえ(自動作曲システム)
ブラウザで歌詞を入力するだけで自動作曲する(簡易版)
※オリジナルの作詞・作曲はYouTubeで公開中

ロボット

このブログのマスターが作成したロボットです。(試作機)

ロボットアーム

二足歩行ロボット

四足歩行ロボット

1位	AndroidのAPKファイルを逆コンパイルする [jadx/windows版]
2位	Javaでデータベース操作(検索/更新系SQL/プリペアドステートメント/トランザクション)
3位	「.so」(共有ライブラリ)をAndroid Studioで逆アセンブルする
4位	Javaの外部ライブラリの作成、使用方法(JARファイル)
5位	ストレージにあるファイルを別アプリで表示、メール添付する [FileProviderの使い方]
6位	SQLiteによるデータベース操作(SELECT/INSERT/UPDATE/DELETE/トランザクション) [Android Studio]
7位	署名付きAPKファイルを作成する [Android Studio]
8位	ListViewにCheckBoxを追加する [Android Studio]
9位	JavaでURLのHTMLを取得する
10位	Javaのクラス(基本/カプセル化/継承/多態性/テンプレート) [中級者用]
11位	証明書フィンガープリント(MD5/SHA1/SHA-256)を確認する [Android Studio]
12位	WebViewで「ファイルのダウンロード」(Blob形式)のデータを取得する [Android]
13位	通知エリアに「通知」(Notification)を表示する [Android Studio]
14位	各種コントロールの画面設計(ConstraintLayout)とイベント [Android Studio]
15位	Javaのスレッドで並列処理を行う
16位	Javaでテキスト/プロパティファイルの読み書きをする
17位	WebViewの<input type="file">でカメラ、画像からデータを取得する [Android]
18位	WebViewの基本操作(HTML/JSリソースの実行) [Android]
19位	ファイルを作成、削除するだけではAndroidでは認識しない [Android]
20位	ListViewをカスタマイズする [Android Studio]