如何在客户端二进制文件中保留敏感信息？

Question

我期待开发一个 Android / iPhone 应用程序，这些应用程序将使用带有嵌入式客户端密钥的私有 API（非免费）。

现在，因为可以对应用程序二进制文件进行逆向工程并删除字符串。我担心会因为将私有 API 暴露给攻击者而丢失我的客户端密钥。

如何管理这个？您能否提供讨论此类情况的文章的链接？

考虑到我对私有 API 有开发访问权限，我可以在其中内置什么机制来保护整个系统的隐私。

Answer 1

如果您可以访问您的应用程序代码，则始终可以使用私有 API（也请参阅 this thread）。不过，你可以让它变得更难。您可以通过以下选项限制 API 的使用

1) 如果它不是“您的”API，请不要将密钥放入应用程序中，而是放入您正在运行的服务器中以充当外部服务的代理（您可能仍需要另一个密钥供您的服务器进入然后应用程序）

2) 加密/加扰密钥，使其不易被抓取：

• 加扰的简单示例：将密钥放入文件中；生成一个相同长度的随机文件；将密钥文件与随机文件异或（并再次将其写入磁盘）；每当您需要密钥时，读取两个文件并再次对它们进行异或（任何可逆操作而不是异或都可以 - 更复杂的操作，分布在您的代码中会使逆向工程师更难）
• 使用遍布您应用的密码加密您的密钥（在部署时，Android 应用无论如何都会被混淆，因此查找起来会有些困难）

3) 如果它是您的服务或您设置了代理，请限制每个客户端/IP 的使用次数或仅通过您的代理提供部分服务

注意，如果您的合同禁止公开您的密钥，甚至可能需要选项 1。