iPhone 应用程序编译代码中包含的信息有多安全？

Question

我正在和一些朋友讨论这个问题，我们开始思考这个问题。有人在购买您的应用程序后是否可以访问实际 Objective-C 代码中包含的 URL 或其他值？

我们最初的感觉是否定的，但我想知道是否有人以某种方式拥有明确的知识？

我确实知道 .plist 文件很容易获得。

示例可能如下：

- 保存在字符串中的 URL 值

- API 密钥和秘密值

Answer 1

是的，可以使用 strings 工具（参见此处），实际上使用 class-dump-x 提取类信息非常容易（查看此处）。

只是一些值得深思的东西。

编辑：隐藏秘密信息的一种简单但不安全的方法是对其进行混淆，或将其切成小块。

以下代码：

NSString *string = @"Hello, World!";

将生成“Hello, World!”使用字符串工具。
像这样编写代码：

NSString *string = @"H";
string = [stringByAppendingString:@"el"];
string = [stringByAppendingString:@"lo"];
...

将显示键入的字符，但不一定按顺序显示。

再说一次：很容易做到，但不太安全。

Answer 2

当您购买应用程序时，它会以“FooBar.ipa”的形式保存在您的硬盘上；该文件实际上是 Zip 格式。您可以解压它并检查内容，包括在可执行文件中搜索字符串。试试吧！代码中的常量值不会以任何方式压缩、加密或加扰。

Answer 3

我知道这个问题已经得到了回答，但我也想提出我自己的建议。

再次请记住，所有混淆技术都不是 100% 安全的，因此不是最好的，但它们通常“足够好”（取决于您想要混淆的内容）。这意味着坚定的破解者无论如何都能够读取您的字符串，但这些技术可能会阻止“休闲破解者”。

我的另一个建议是用简单的异或来“加密”字符串。这是非常快的，如果您通过 App Store 销售应用程序，则不需要任何授权（它不属于需要授权才能导出的算法类别）。

在 Cocoa 中有很多用于执行 XOR 的代码片段，例如： http://iphonedevsdk.com/forum/iphone-sdk-development/11352-doing-an-xor-on-a-string.html

您使用的密钥可能是任何字符串，无论是无意义的字符/字节序列还是有意义的使读者困惑的东西（例如使用方法名称，例如“stringWithContentsOfFile：usedEncoding：error：”）。