我正在制作一个管理应用程序来控制我的主帐户的 firebase 数据库,所以想象一个 2 结构的应用程序 MainActivity 和 AdminActivity。
所以在 MainActivity 中,我将有一个用于输入密码的编辑文本,当且仅当密码与硬编码密码匹配时,用户才能使用 Intent 进入 AdminActivity。
所以我的问题是,这个应用程序将只保留给我,但如果它落入坏人之手,有人可以在不使用密码或外部工具的情况下打开 AdminActivity 吗?我不想在 Firebase 上实现登录,所以数据库是打开的。
最佳答案
如果有人拿到 APK,它很容易被反编译。即使使用混淆(Proguard)也不会隐藏硬编码的字符串常量。然后,攻击者可以尝试他在您的应用中找到的所有字符串,直到他正确获得密码。
假设您的 AdminActivity 在 list 中声明为 exported="false",攻击者就不可能启动您的 Activity 直接(就像从另一个应用程序)。但是,如果攻击者获得了 APK,他可以将其安装在获得 root 权限的设备上并为所欲为,或者他可以将设备连接到 PC 并使用 ADB 直接启动 AdminActivity。
可能还有其他 6 种成功的“绕过密码”方案,我现在想不起来了。
关于android - 打开另一个 Activity 有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52154512/