如何在客户端二进制文件中保留敏感信息？

Question

我期待开发一个 Android / iPhone 应用程序，这些应用程序将使用带有嵌入式客户端密钥的私有 API（非免费）。

现在，因为可以对应用程序二进制文件进行逆向工程并删除字符串。我担心会丢失客户端密钥，并将私有 API 暴露给攻击者。

如何管理这个？您能否提供讨论此类情况的文章链接？

考虑到我可以开发私有 API，我可以在其中内置什么机制来保护整个系统的隐私。

Answer 1

如果您有权访问应用程序代码，则始终可以使用私有 API（请参阅 这个线程也是如此）。不过，你可以让它变得更难。您可以通过以下选项限制 API 的使用

1) 如果它不是“您的”API，请勿将密钥放入应用程序中，而是放入您正在运行的服务器中，以充当外部服务的代理（您可能仍然需要另一个密钥让您的服务器进入应用程序，然后）

2）加密/扰乱密钥，使其不易被获取：

• 扰乱的简单示例：将密钥放入文件中；生成相同长度的随机文件；将密钥文件与随机文件进行异或（然后再次将其写入磁盘）；每当您需要密钥时，请读取这两个文件并再次对它们进行异或（任何可逆操作而不是异或都可以 - 更复杂的操作，分布在您的代码中将使逆向工程师变得更加困难）
• 使用分布在您的应用程序上的密码加密您的密钥（在部署时，Android 应用程序无论如何都会被混淆，因此找到它会变得有点困难）

3）如果这是您的服务或者您设置了代理，请限制每个客户端/IP 的使用次数或通过代理仅提供部分服务

注意， 选项如果您有禁止公开密钥的合同，甚至可能需要 1。