我目前正在尝试在Android中构建一个认证应用程序,它将用户的用户名和密码存储在内存中。由于敏感信息已存储,因此必须进行加密。是否可以保护加密密钥免遭恶意应用在iOS/Android中读取?
还有一点是,用户不需要输入密码,我想这样做,使应用程序没有主密码,假设手机是安全的。
因此,加密密钥必须存储在某个地方。我的问题是,iOS/Android中是否有任何机制保护我的加密密钥不被具有root用户访问权限的恶意应用读取?
编辑:我认为这应该是可能的,因为网页浏览器存储密码,我还没有听说过一种方法来提取它们。
其实它可以从web浏览器提取密码,只是谷歌周围。 –
人为因素是它所涉及的,你将不得不使用输入密码,因为一旦电话根植或web服务器,就可以完全访问该设备上的所有内容。一个确定的人将能够反编译你的应用程序,找到密钥,查看你的模糊处理并解锁密码存储。 –
@丹S:使用输入密码不会帮助。 –