таким не доводилось заниматься, интересные замечания, плюсанул карму, спасибо! Раз уж затронули тему, а есть мысли, как можно усложнить жизнь против динамического анализа?
хорошее замечание, думаю таким способом можно прочитать ключ из трафика. В качестве альтернативы можно захардкодить обфусцированный ключ на клиенте. Либо пойти дальше и сделать составной ключ, часть захардкодить, часть получать с бэкенда. Очень важно при этом минимизировать время нахождения полного ключа в памяти. Для обфускации подойдут библиотеки вроде:
таким не доводилось заниматься, интересные замечания, плюсанул карму, спасибо! Раз уж затронули тему, а есть мысли, как можно усложнить жизнь против динамического анализа?
ох боюсь человечество раньше закончится. Пофиксил, спасибо!
хорошее замечание, думаю таким способом можно прочитать ключ из трафика. В качестве альтернативы можно захардкодить обфусцированный ключ на клиенте. Либо пойти дальше и сделать составной ключ, часть захардкодить, часть получать с бэкенда. Очень важно при этом минимизировать время нахождения полного ключа в памяти. Для обфускации подойдут библиотеки вроде:
https://github.com/pjebs/Obfuscator-iOS
https://github.com/UrbanApps/UAObfuscatedString
хороший вопрос. Кажется, что это возможно. Я не нашел информации, где именно сохраняется ключ, но подозреваю что в кейчейне, который можно сдампить.