0
假設我(作爲應用程序開發人員)想要使用存儲在我應用程序某處的密鑰加密某些內容。最終,我必須將該密鑰加載到內存中,並將其與純文本數據一起傳遞給javax.crypto中的某個Java類。由於這些類是JVM在運行時提供的,如果攻擊者能夠控制JVM並在自己的Android設備上交換這些類的實現,他將能夠看到我的密鑰和純文本應用程序想要加密。由於Android是開源的,任何人都可以修改它並將其構建爲在自己的設備上運行,並在其上運行我的應用程序。這不是說他們可以竊取我的應用程序的密鑰並看到我的純文本嗎?使用內置的Android/Java加密API安全嗎?
如果是這樣,有什麼辦法可以防止這種情況發生?例如,使用包含在我的APK中的第三方加密庫? (雖然有人可以輕鬆地反編譯APK,並將這些類換掉,難道不是嗎?)