Seguridad en Android ocultando api keys

Clase 89 de 96 • Curso Definitivo de Android 2016

Si tienes una app y en ella tienes implementado cosas como:

Login con Facebook, Twitter, GitHub o cualquier otra red social
Mapas de Google
Alguna API propia que complementa tu aplicación
Una API de otro propietario

La mayoria delas aplicaciones cuentan con estas carácterísticas y seguramente has notado que en todas te pide un dato como este:

api_key
access_token
token
etc.

Se ubican con diferentes nombres pero en escencia este dato es una cadena de caracteres alfanumérica única y personalizada que es tu llave de acceso al servicio que estas solicitando, si alguien llega a obtenerla puede tener acceso a tus usuarios e información valiosa que tiene que ver con tu app, por eso es muy importante que no estén accesibles para aquellos usuarios curiosos que de pronto obtienen tu apk (archivo ejecutable de la app) y con procesos de ingeniería inversa, logran decifrar y ver el código fuente de las aplicaciones.

Hoy aprenderemos a implementar una capa de seguridad que mantendrá tus Key's a salvo. Aprenderemos a usar Gradle en Android para mantener aislados del código fuente estos datos.

Normalmente tus api keys estarán almacenadas en el archivo strings.xml o en alguna clase de constantes, si las tienes ahí están vulnerables a ser descubiertas con ingeniería inversa.

gradle.properties

Este archivo lo encontrarás en la sección Gradle Scripts como se muestra en la figura:

Cuando lo abres por primera vez verás algo como esto:

Debajo de todos los comentarios, ahí definirás todas tus api keys pasaremos de esto:

A tenerlo de esta forma:

build.gradle

Ahora el siguiente archivo a editar es el build.gradle que se encuentra a nivel de módulo de la app, es decir el que ves a continación:

Tú sabes que en ese archivo declaramos todas las dependencias, y se define todo o que se incluirá en el archivo ejecutable apk.

Debajo de la primera línea:

apply plugin: 'com.android.application'

Definiremos una variable que accederá a la propiedad que dejamos definida en gradle.properties lo haremos de la siguiente forma:

def FACEBOOK_APP_ID = '"'+FacebookAppId+'"' ?: '"No Token Facebook"';

Lo que estamos diciendo es que a apartir del ++operador terneario++, accedemos al valor de la propiedad si tiene un valor se almacena en la variable FACEBOOK_APP_ID en caso contrario la variable obtiene el valor "No Token Facebook"

Ahora procederemos a inicializar el objeto type con los valores de nuestras api key's como se muestra a continuación:

Si quires que la variable esté disponible como un recurso string utiliza la instrucción:

type.resValue 'string', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID

Pero si quieres que este disponible para ser utilizado en el código Java lo haremos de la siguiente forma:

type.buildConfigField 'String', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID

De tal forma que nuestro código quedará así:

Para que todo cobre vida es necesario que sincronices el proyecto

Para el caso partícular del api key de Facebook este se llama desde el archivo AndroidManifest.xml como un recurso string, notarás que aparece en rojo:

Esto es por que sigue apuntando al recurso que había antes en el strings.xml, ahora lo accederemos a partir del nombre de la variable que está en build.gradle, de la siguiente forma:

Si quieres acceder a la variable desde el código Java lo harás de la siguiente forma:

BuildConfig.FACEBOOK_APP_ID

El resultado lo podrás ver en la consola:

El archivo gradle.properties no se incluye en el apk, por lo tanto tus key's ahora están a salvo.

Roberto Cervantes

student•

Hola Ann,

¿En que parte de este ejemplo se esta utilizando ProGuard?

Gracias de antemano.

Ann Code

teacher•

Hola en ninguno 😄 gracias por la observación! quize referirme a gradle y sus archivos de propiedades

José Tuzinkievicz

student•

Entonces, cuál sería el nivel de seguridad? Digamos que por naturaleza los archivos gradle.properties y build.gradle están más protegidos que el strings.xml?
Gracias desde ya.

Paco Cubel

student•

Tengo mis dudas… Si no se incluye en el APK como puede acceder a este dato?

Ann Code

teacher•

Lo hace a través de la clase BuildConfig.java ahí se guardan esos recursos

Alejandro Uranga Reyes

student•

Exacto, pero entonces tengo una duda por lo que veo en los comentarios tendríamos que usar NDK de Android y Proguard? O como? me confundí

Enlace de la imagen

Esteban Suárez

student•

Una pregunta acorde con el comentario de las clases de encriptado y desencriptado: Guardando la constante del api key en BuildConfig no habría lío para desencriptar puesto que lo puedo hacer en el código Java, sin embargo, si encripto ese API key para el strings, como haría para desencriptarlo puesto que la idea es usarlo en archivos XML?

PDT: Proguard está incluido en el build que hace gradle del apk.

Muchas gracias

Valentín Arreguín González

student•

Hola Ann, De igual manera seguí los pasos para ocultar los valores de cada key, pero al decompilar el apk, ahora los valores se muestran en el archivo BuildConfig.java o en el archivo de string´s. ¿Hace falta alguna configuración extra?
De ante mano gracias. 😃

Uriel Ramírez

student•

Tienes razón, proguard es algo limitado con variables que por ejemplo tienes en strings.xml. Para asegurarnos que nadie más lo pueda ver al hacer ingeniera inversa necesitas crear una clase que encripte y desencripte todos tus strings, mira aqui un ejemplo:

Valentín Arreguín González

student•

Excelente ThespianArtist, es una buena manera de manejar las llaves, gracias por el dato 😄

Usuario anónimo

user•

Lo pondré en practica

JOSE ADRIAN TEZOYOTL MORALES

student•

Interesante forma de aplicar seguridad a la apk

Juan Guillermo Perez Cardozo

student•

interesante, lo probare en kotlin debe funcionar igual.

Jair Israel Avilés Eusebio

student•

Hola,

Al seguir esto pasos para ocultar, en particular habilitando en el archivo build.gradle del módulo para que la llave sea utilizada en el código Java, esta al ser generado la dispone en la clase BuildConfig.

Parte de mi falta de conocimiento en Android es que si al momento de generar un apk firmado para liberarlo en la play store siguiendo este método ¿no será posible que con ingenieria inversa sea posible ver el archivo BuildConfig.java que contiene mi API key y por ende, tener un hueco en seguirad?

Ann Code

teacher•

Puedes agregar una capa de seguridad mayor haciéndolo desde el NDK de Android ahí ni con Ingeniería inversa 😃

Saul Maldonado Ortiz

student•

Y con el NDK como sería?

Seguridad en Android ocultando api keys

Bienvenido al curso

¡Vamos a renovar este curso!

Bienvenida

Descarga el material del curso

Introducción a Android

Estado actual del desarrollo en Android

Requerimientos y Herramientas para el Desarrollo en Android

Creando nuestro entorno de desarrollo

Inicia a programar para Android: ¿Qué necesito?

Arquitectura de una aplicación en Android

Android Studio

Android SDK Manager

Hola Mundo

Creando un emulador

Básicos de Android

Repaso rápido de Java (POJOS)

Android es MVC por defecto

XML vs. Editor Gráfico

Diferencia entre LinearLayout y Relative Layout

Widgets Básicos en Android

Widgets Básicos desde Java

Material Design

Creando Platzigram

Configurando nuestro tema Material

Widgets de Material Design

Maquetando nuestras vistas del proyecto

¿Qué es un Activity?

Maquetando nuestros Activities

Internacionalización de Textos

Rised button

EditText con Material Design

Terminando el Home de nuestra aplicación

Toolbar

Intents

CardView

Analizando nuestra vistas

Maquetando nuestro CardViewd

Introducción a Fragments

Creando nuestros fragments

Fragments en nuestro BotttomBar

¿Cómo funciona un RecyclerView?

Implemententando RecyclerView

Picasso

Analizando nuestra vista

Collapsing Toolbar Layout, AppBarLayout

Onclick Listener en RecyclerView

Implementando la vista de perfil

Comportamientos dependientes en Material Design

Transiciones en Android.

Conclusiones

Cierre del Curso

Desafío 01

Desafío 02

Desafío 03

Continuando con Platzigram

Bienvenida a la segunda parte del curso

Material del curso

Arquitectura en Android

¿Por qué se debe implementar una Arquitectura en Android?

Principios SOLID en Android

¿Qué es y por qué implementar MVP en Android?

MVP en Android un ejemplo sencillo

¿Qué es la arquitectura limpia? Clean Architecture

Platzigram con Clean Architecture creando la entidad Login

Integrando un Presenter e Interactor a Platzigram

Creando un Repository en Platzigram

Accediendo al Hardware en Android

Accediendo a la cámara en Android

Creando un layout para mostrar una foto en Android

Accediendo y mostrando fotos de la cámara en Android

Configuración de Firebase en Android

¿Qué es Firebase para Android?

Creando un proyecto en la consola de Firebase

Gradle en Android

¿Qué es Android Gradle?

Archivos de configuración Gradle en Android integración con Firebase

Firebase Authentication en Android

Cómo funciona Firebase Authentication en Android

Firebase Authentication Correo y Contraseña en Platzigram