Esta pregunta ya tiene una respuesta aquí:

Suponiendo que una contraseña para un almacén de claves no es suministrada o vinculada a una contraseña de usuario (lo que más o menos significa que es solo una Cadena o una Matriz [] en el código en alguna parte), es una protección suficiente que simplemente no puede o apenas puede ser extraído del bytecode?

Sé que la contraseña para un almacén de claves (JKS / BKS) solo se utiliza para verificar la integridad del almacén de claves. Además, está totalmente claro que tengo que asumir que una aplicación se ejecuta en un entorno más o menos confiable para ser "segura". Pero de todos modos, ¿es posible extraer la contraseña solo del archivo apk?

Simplemente se siente mal codificar cualquier contraseña dentro del origen de una aplicación, por lo que tal vez haya algunas ideas sobre cómo hacerla menos amenazadora. P.ej. ¿sería mejor hacer que la contraseña sea configurable dentro de un archivo de configuración externo o generarla al azar durante la instalación de la aplicación (y dónde debería almacenarse entonces)?