O ficheiro de uma aplicação Android é chamado de Android Package (apk), e não é mais que um ficheiro Zone Information Protocol (ZIP) comprimido.
Começamos com algumas breves questões:
- É possível descomprimir um apk? Sim.
- Então, também é possível ler o código-fonte de um apk? Sim.
- Os apks são reversíveis através de engenharia reversa? Sim.
- Isso quer dizer que, é possível encontrar dados sensíveis como, por exemplo, palavras-passe e Application Programming Interface (API) keys, ao longo do código? Sim.
- É possível construir um apk totalmente seguro — à prova de bala?
Este artigo tem o objetivo de passar alguns procedimentos de forma a que qualquer developer, ou fulano com conhecimentos básicos sobre Android, consiga auditar sua própria aplicação antes que esta seja publicada e maliciosamente explorada.
E respondendo à última questão: -”Nim”.