Seguridad en Android ocultando api keys

Si tienes una app y en ella tienes implementado cosas como:

• Login con Facebook, Twitter, GitHub o cualquier otra red social
• Mapas de Google
• Alguna API propia que complementa tu aplicación
• Una API de otro propietario

La mayoria delas aplicaciones cuentan con estas carácterísticas y seguramente has notado que en todas te pide un dato como este:

• api_key
• access_token
• token
• etc.

Se ubican con diferentes nombres pero en escencia este dato es una cadena de caracteres alfanumérica única y personalizada que es tu llave de acceso al servicio que estas solicitando, si alguien llega a obtenerla puede tener acceso a tus usuarios e información valiosa que tiene que ver con tu app, por eso es muy importante que no estén accesibles para aquellos usuarios curiosos que de pronto obtienen tu apk (archivo ejecutable de la app) y con procesos de ingeniería inversa, logran decifrar y ver el código fuente de las aplicaciones.

Hoy aprenderemos a implementar una capa de seguridad que mantendrá tus Key's a salvo. Aprenderemos a usar Gradle en Android para mantener aislados del código fuente estos datos.

Normalmente tus api keys estarán almacenadas en el archivo strings.xml o en alguna clase de constantes, si las tienes ahí están vulnerables a ser descubiertas con ingeniería inversa.

gradle.properties

Este archivo lo encontrarás en la sección Gradle Scripts como se muestra en la figura:

Cuando lo abres por primera vez verás algo como esto:

Debajo de todos los comentarios, ahí definirás todas tus api keys pasaremos de esto:

A tenerlo de esta forma:

build.gradle

Ahora el siguiente archivo a editar es el build.gradle que se encuentra a nivel de módulo de la app, es decir el que ves a continación:

Tú sabes que en ese archivo declaramos todas las dependencias, y se define todo o que se incluirá en el archivo ejecutable apk.

Debajo de la primera línea:

apply plugin: 'com.android.application'

Definiremos una variable que accederá a la propiedad que dejamos definida en gradle.properties lo haremos de la siguiente forma:

def FACEBOOK_APP_ID = '"'+FacebookAppId+'"' ?: '"No Token Facebook"';

Lo que estamos diciendo es que a apartir del ++operador terneario++, accedemos al valor de la propiedad si tiene un valor se almacena en la variable FACEBOOK_APP_ID en caso contrario la variable obtiene el valor "No Token Facebook"

Ahora procederemos a inicializar el objeto type con los valores de nuestras api key's como se muestra a continuación:

Si quires que la variable esté disponible como un recurso string utiliza la instrucción:

type.resValue 'string', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID

Pero si quieres que este disponible para ser utilizado en el código Java lo haremos de la siguiente forma:

type.buildConfigField 'String', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID

De tal forma que nuestro código quedará así:

Para que todo cobre vida es necesario que sincronices el proyecto

Para el caso partícular del api key de Facebook este se llama desde el archivo AndroidManifest.xml como un recurso string, notarás que aparece en rojo:

Esto es por que sigue apuntando al recurso que había antes en el strings.xml, ahora lo accederemos a partir del nombre de la variable que está en build.gradle, de la siguiente forma:

Si quieres acceder a la variable desde el código Java lo harás de la siguiente forma:

BuildConfig.FACEBOOK_APP_ID

El resultado lo podrás ver en la consola:

El archivo gradle.properties no se incluye en el apk, por lo tanto tus key's ahora están a salvo.