私はアプリケーションにハードログイン情報をハードコーディングしているネイティブのネイティブアプリケーションを構築しています。これが、ネイティブモジュールとの通信とアプリケーションのリバースエンジニアリング能力との間にセキュリティの影響があるかどうか疑問に思った理由です。もしそうなら、それらの資格情報にアクセスしてローカルに持ち込むために、私が取ることができる予防措置は何ですか?ネイティブがセキュリティの観点から考えている他の意味合いについて考えることができるかどうか教えてください。ネイティブのセキュリティ上の懸念に対応します
ありがとうございます!
私が作成したエンタープライズアプリケーションで侵入テスト担当者と協力して学んだ質問の一部について、小さな回答があります。文字列リテラルをハードコードすると、アプリから抜け出すのが非常に簡単です。暗号化パスワードを取得するために、複数の文字列を一緒に追加することを少しヒントにしました。だから、ハッカーがあなたのアプリから文字列を引っ張ってくると、どのパスワードが一緒になって正しいパスワードを取得するのかが分かりません。
また、もう少し行きたいと思ったら、私は[SomeBuiltInClass class]をパスワード文字列にも使用するように提案しました。ハッカーが文字列リテラルをすべて自分のアプリケーションから取り除いても、正しいパスワードを取得してください。
[NSString stringWithFormat:@"%@%@%@",[NSString class],@"SomeIntermediateSomething",[NSData class]];
しかし、あなたはこのすべてを行うと、ハッカーはあなたが合格した場合、彼らはまだ資格情報を得ることができるので、彼はまだ、すべての呼び出し、アプリの周りプッシュすべてのパラメータを見ることができますジェイルブレイクデバイスでアプリケーションを持っている場合でも、それらはどのような方法または機能であってもよい。したがって、パスワードを使用する場合は、パスワードを正確に引き出すことも重要です。彼らはまた、あなたが望むどんなデータでもあなたのアプリでどんなメソッドや関数を実行することもできるので、どの関数を呼び出すかを知っているのと同じ方法でパスワードを得ることができます。
私はそれ以上のことを知っている人がいると確信していますが、これは私が過去に行ったことです。
だから結論として、私はハッカーが自分のパスワードを取得するのをより困難にすることができますが、決して不可能ではないということですか?私はそれがすべてのセキュリティだと思う。純粋なiOSアプリケーションの代わりに話していますか? – user2977578
安全なものを作る方法は決してありません。あなたは物事をますます困難にすることができます。そして、はい、私のセキュリティへの取り組みは、ただのiOSでした。 – Putz1103
この質問を読んでいる誰かの追加利益のために、反応するネイティブアプリはメインバンドルに保存されているので、すべてのjavascriptコードが表示されます。それを非最小化することは可能ですが、それはとにかく元に戻すことができます。私はちょっと待って、あなたの質問に正しい印を付けるつもりです。 – user2977578
なぜ私は-1を得ましたか? – user2977578
ハードコーディング資格情報とは何ですか? creds serversideを格納し、ユーザーが認証されたユーザーだけがデータを取得できるサービスを作成します。 – f1lt3r