使用 Xamarin 创建的 APK 的逆向工程有多成功?
How successful is reverse engineering of an APK created using Xamarin?
我刚刚重命名了我使用 Xamarin 表单创建的应用程序的 APK,正如预期的那样,可以使用 .NET 反编译器反编译项目的 .dll 以获取 IL 代码。
我只想知道这会对我的应用程序的隐私造成多大影响,以及最佳做法是什么,以便我可以保护我的应用程序免受此类情况的影响。
注意:应用程序包含字符串格式的所有 WebApi 端点和所有其他内容
无论您对代码做什么以隐藏商业机密,都只会拖慢坚定的人。
当您将您的应用程序发布到商店时,您放弃了您硬编码到应用程序中的所有秘密。
我看到您担心 API 端点。
很遗憾地告诉你,但 攻击者甚至不需要反编译你的应用程序来重建 API 端点和协议 。
设置 MITM 服务器并拦截您所谓的加密流量很容易 - 拦截流量比分析反编译的源代码要容易得多。
您应该准备好让对手知道协议并可以模拟您的应用程序发出相同的请求。
如果您认为使用硬编码到客户端应用程序中的 API 密钥从客户端应用程序调用第三方 API,请再考虑一下并将此类调用移至您的服务器端。
如果您想保护真正机密的东西 - 将所有此类代码移至服务器。
如果您 API 没有提供任何应该严格限制的信息,那么您不应该太在意混淆。
我刚刚重命名了我使用 Xamarin 表单创建的应用程序的 APK,正如预期的那样,可以使用 .NET 反编译器反编译项目的 .dll 以获取 IL 代码。
我只想知道这会对我的应用程序的隐私造成多大影响,以及最佳做法是什么,以便我可以保护我的应用程序免受此类情况的影响。
注意:应用程序包含字符串格式的所有 WebApi 端点和所有其他内容
无论您对代码做什么以隐藏商业机密,都只会拖慢坚定的人。 当您将您的应用程序发布到商店时,您放弃了您硬编码到应用程序中的所有秘密。
我看到您担心 API 端点。 很遗憾地告诉你,但 攻击者甚至不需要反编译你的应用程序来重建 API 端点和协议 。 设置 MITM 服务器并拦截您所谓的加密流量很容易 - 拦截流量比分析反编译的源代码要容易得多。
您应该准备好让对手知道协议并可以模拟您的应用程序发出相同的请求。
如果您认为使用硬编码到客户端应用程序中的 API 密钥从客户端应用程序调用第三方 API,请再考虑一下并将此类调用移至您的服务器端。
如果您想保护真正机密的东西 - 将所有此类代码移至服务器。 如果您 API 没有提供任何应该严格限制的信息,那么您不应该太在意混淆。