Thông tin an toàn chứa trong mã biên dịch ứng dụng iPhone như thế nào?

Question

Tôi đã thảo luận điều này với một số người bạn và chúng tôi bắt đầu tự hỏi về điều này. Ai đó có thể có quyền truy cập vào URL hoặc các giá trị khác được chứa trong mã khách quan thực tế sau khi họ mua ứng dụng của bạn không?

Cảm giác ban đầu của chúng tôi là không, nhưng tôi tự hỏi liệu có ai ngoài kia có kiến ​​thức dứt khoát theo cách này hay cách khác không?

Tôi biết rằng các tệp .plist có sẵn.

Ví dụ có thể là những thứ như:

giá trị -URL giữ trong một chuỗi

-API khóa và giá trị bí mật

Answer 1

Vâng, dây và thông tin có thể dễ dàng chiết từ các ứng dụng biên soạn bằng công cụ strings (see here) và thậm chí thực sự dễ dàng để trích xuất thông tin lớp học bằng cách sử dụng class-dump-x (check here).

Chỉ cần một số thức ăn để suy nghĩ.

Chỉnh sửa: một cách dễ dàng, mặc dù không an toàn, cách giữ bí mật thông tin bí mật của bạn là làm xáo trộn hoặc cắt thành từng mảnh nhỏ.

Các mã sau đây:

NSString *string = @"Hello, World!"; 

sẽ sản xuất "Hello, World!" sử dụng công cụ strings. Viết mã của bạn như sau:

NSString *string = @"H"; 
string = [stringByAppendingString:@"el"]; 
string = [stringByAppendingString:@"lo"]; 
... 

sẽ hiển thị các ký tự được nhập, nhưng không nhất thiết phải theo thứ tự.

Một lần nữa: dễ thực hiện, nhưng không an toàn lắm.

Answer 2

Khi bạn mua ứng dụng, nó sẽ được lưu trên đĩa cứng của bạn dưới dạng "FooBar.ipa"; tệp đó thực sự ở định dạng Zip. Bạn có thể giải nén nó và kiểm tra các nội dung, bao gồm cả việc tìm kiếm các chuỗi trong tệp thực thi. Thử nó! Giá trị không đổi trong mã của bạn không bị nén, mã hóa hoặc tranh giành theo bất kỳ cách nào.

Answer 3

Tôi biết điều này đã được trả lời, nhưng tôi cũng muốn đưa ra đề xuất của riêng mình.

Một lần nữa, hãy nhớ rằng tất cả các kỹ thuật obfuscation không bao giờ an toàn 100%, và do đó không phải là tốt nhất, nhưng thường là "đủ tốt" (tùy thuộc vào những gì bạn muốn làm xáo trộn). Điều này có nghĩa rằng một cracker xác định sẽ có thể đọc chuỗi của bạn anyways, nhưng những kỹ thuật này có thể ngăn chặn các "cracker bình thường".

Đề xuất khác của tôi là "crypt" các chuỗi bằng XOR đơn giản. Điều này cực kỳ nhanh và không yêu cầu bất kỳ sự cho phép nào nếu bạn đang bán ứng dụng thông qua App Store (nó không rơi vào các loại thuật toán yêu cầu ủy quyền xuất chúng).

Có rất nhiều đoạn xung quanh để thực hiện một XOR trong Cocoa, xem ví dụ: http://iphonedevsdk.com/forum/iphone-sdk-development/11352-doing-an-xor-on-a-string.html

Chìa khóa bạn sử dụng có thể là bất kỳ chuỗi, có thể là một chuỗi vô nghĩa của ký tự/byte hoặc một cái gì đó có ý nghĩa để gây nhầm lẫn bạn đọc (ví dụsử dụng tên của các phương thức, chẳng hạn như "stringWithContentsOfFile: usedEncoding: error:").