Esta pergunta já tem uma resposta aqui:

Supondo que uma senha para um keystore não seja fornecida ou vinculada a uma senha de usuário (o que significa mais ou menos que é apenas uma String ou uma matriz [] no código em algum lugar), é uma proteção suficiente que simplesmente não pode ou dificilmente pode ser extraído do bytecode?

Eu sei que a senha de um keystore (JKS / BKS) é usada apenas para verificar a integridade do keystore. Além disso, é totalmente claro que devo assumir que um aplicativo é executado em um ambiente mais ou menos confiável para ser "seguro". Mas, de qualquer forma, é possível extrair a senha apenas do arquivo apk?

Parece errado codificar qualquer senha na origem de um aplicativo, então talvez haja algumas idéias sobre como torná-lo realmente menos ameaçador. Por exemplo. seria melhor tornar a senha configurável em um arquivo de configuração externo ou gerá-la aleatoriamente durante a instalação do aplicativo (e onde deve ser armazenada)?