Diese Frage hat hier bereits eine Antwort:

Angenommen, ein Kennwort für einen Schlüsselspeicher wird nicht durch ein Benutzerkennwort bereitgestellt oder ist nicht an dieses gebunden (was mehr oder weniger bedeutet, dass es sich irgendwo nur um einen String oder ein Array [] im Code handelt), ist dies ein ausreichender Schutz, den es einfach nicht oder nur schwerlich kann aus dem Bytecode extrahiert werden?

Ich weiß, dass das Kennwort für einen Schlüsselspeicher (JKS / BKS) nur zur Überprüfung der Integrität des Schlüsselspeichers verwendet wird. Außerdem ist es völlig klar, dass ich davon ausgehen muss, dass eine Anwendung in einer mehr oder weniger vertrauenswürdigen Umgebung ausgeführt wird, um "sicher" zu sein. Aber wie auch immer, ist es möglich, das Passwort nur aus der apk-Datei zu extrahieren?

Es fühlt sich einfach falsch an, ein Passwort in der Quelle einer Anwendung fest zu codieren. Vielleicht gibt es also einige Ideen, wie man es tatsächlich weniger bedrohlich machen kann. Z.B. Wäre es besser, das Passwort in einer externen Konfigurationsdatei konfigurierbar zu machen oder es während der Installation der App zufällig zu generieren (und wo soll es dann gespeichert werden)?