хипдамп же возможен только для дебаггабельного приложения или под рутом

но другое приложение не сможет просто так сдампить твой хип

Привет, спасибо.
Приложение конечно не будет debuggable и будет посильно проверять рут каждый раз перед расшифровкой строки, в случае обнаружения признаков рута - прибивать ключ в кейсторе

признаки рута необнаружимы

можно сдампить, но уже нужен рут доступ и через gdb сливать

если я не ошибаюсь

а не возникнет такой же проблемы, как с броадкастресиверами? всмысле разрешений

возникает, поэтому я прикрепил не просто так ссылку на стэковерфлоу

так если првоерить системные папки на чтенеи или запись?

сорри, сейчас почитаю

не под рутом они не доступны

я беру frid'у и патчу метод проверки рута и все

короче можно сделать что угодно и взломать что угодно, дело только в том, как уменьшить риски

Я понимаю, вот как раз хочу как можно больше возможных слоёв защиты намотать

Знаю что хранить секрет на клиенте - отстой, но избежать к сожалению этого не получится

Может есть какие то лучшие практики на такой "худший" случай?

асимметричное шифрование + keystore + CryptoObject от отпечатка пальца
https://habrahabr.ru/company/e-Legion/blog/317706/

имхо

У меня похожий подход, только в кейсторе генерится ключ AES (как раз в апи 23 появилось)
Сканера отпечатков на девайсе к сожалению нет. Авторизация пользователя по паролю или по рисунку. Не создаёт ли это каких либо потенциальных уязвимостей?
Меня беспокоит то, что даже когда я снимаю полностью метод блокировки экрана, то мой ключ в кейсторе всё равно возвращает isInsideSecureHardware() == true, хотя я думал что системный кейстор связан с блокировкой экрана

Я имею ввиду если ключи хранятся аппаратно в SE или TEE