保护应用程序配置内容
细节
iOS开发人员通常会将应用程序配置项存储在plist文件中,这些文件在某些情况下可能会受到影响。类似地,Android开发人员通常将配置存储在共享首选项XML文件或SQLite数据库中,这些数据库在默认情况下未加密,并且可以使用root权限或使用备份方法进行读取甚至修改。
修复
尽可能将配置编译进代码。在iOS上通过plist文件配置应用程序没有什么好处,因为一旦更改必须重新捆绑与部署。相反,在应用程序代码中包含配置,这会花费攻击者更多的时间和技能来达到目的。不要在字典或其他文件中存储任何关键配置项,除非先加密。理想情况下,使用由用户提供的密码加密的主密钥或用户登录系统时远程提供的密钥对所有配置文件进行加密。