Android 手机和应用程序已root

Question

我想在 Android 应用程序上拥有一个大型数据库。该数据库是一个独立的文件，每月可能有 2-3 次更新（每次 20mb+，但我预测最大应该在 40mb 左右）。

我不断听说 Android 应用程序被 root，这样人们就可以访问这些敏感数据（这将是一个付费应用程序）。怎样才能对数据库的数据进行加密才不会丢失呢？是否有任何可以使用并且更安全的替代数据库（除了 sqlcypher）模型（甚至键/值）？

另外，root 手机用户是否可以从外部商店购买 Android 应用程序（由于订阅限制，我正在考虑创建一个外部非 Android 市场商店）并可以完全访问其内容？

我想做一些类似于 iphone 模型的事情，其中​​没有对数据库的明显访问权限（如果您不将其放入文档或启用您的设备进行共享）。

Answer 1

如果您使用 H2，您可以加密数据库的表。

因此只有您的应用程序可以安装和访问它。

当然，您不应该将密钥存储在单个字符串中，因为即使在混淆之后，通过反编译也很容易找到它。

但总的来说，您应该问自己这是否真的是一个好的模型。

Answer 2

“iPhone模式”同样容易被越狱打败。

如果数据库和与之配合使用的代码都位于已取得 root 权限的手机上，那么意志坚定的攻击者最终将获得这些数据。他们只需要一个调试器和一个适时的断点。此外，Java 代码非常容易进行逆向工程。由于您必须将解密代码发送给用户（否则应用程序将如何工作？），因此同一用户可以隔离并利用您自己的解密代码。