то есть даже в нативной части нельзя сохранить?

Можно, но и там достать изи

Если доступно в коде приложения, то доступно всем

то есть большинство крупных приложений никаких приватных кодов не держат внутри приложухи?

Держат, но их достают без проблем

Все равно разберут и достанут, если надо

Надо через ndk/c++ зашивать генерацию приватного ключа

Надо через ndk/c++ зашивать генерацию приватного ключа

И как это спасет?

Подключусь отладчиком и достану ключ

Подключусь отладчиком и достану ключ

ключ - гигантский набор действий

на сях

Или линканусь к либе нативной, вызову функцию генерации и получу ключ

ключ - гигантский набор действий

Я не собираюсь дебажить алгоритм генерации

Или линканусь к либе нативной, вызову функцию генерации и получу ключ

это можно, но тут зависит от того как либа будет детектить то в каком приложении она запущена

Брейкпоинт в коде, где этот ключ юзается и все

это можно, но тут зависит от того как либа будет детектить то в каком приложении она запущена

Хорошо, соберу с тем же айдишником, что и оригинальная либа

Брейкпоинт в коде, где этот ключ юзается и все

ну так его на сях и надо бзать

Короче, это бесполезно

ну это явно надежней чем в ассетах хранить

ну так его на сях и надо бзать

Для си нет дебаггера?)))

Для си нет дебаггера?)))

есть ногемороя прибавит просто на раз

ну это явно надежней чем в ассетах хранить

Ну я потрачу на 10 минут больше времени, да

Ключ все равно достанется

Спрятать его так, чтобы было невозможно достать, не выйдет

Ключ все равно достанется

если толко в нем нет соли)

если толко в нем нет соли)

Да неважно

https://github.com/benloopcompany/react-native-hockeyapp

Возможно

есть варианты, что то что ты достанеш, сервак отклонит))

сомневаюсь что тебе позволят дебаггером залезть в процесс который ранится на девайсе

сомневаюсь что тебе позволят дебаггером залезть в процесс который ранится на девайсе

Достану из стора и запущу как свое просто

Готово

есть варианты, что то что ты достанеш, сервак отклонит))

Если нормально достать, все будет ок

Достану из стора и запущу как свое просто

успехов в IOS переподписывать код :)

Достану из стора и запущу как свое просто

не прокатит

успехов в IOS переподписывать код :)

Лол, Cydia Impactor, Xcode

Изи

Даже аккаунт разраба не нужен

нужна сборка с debug

доя сях

Окей, тогда просто заберу ключ с андроид-версии

а так копая асм много не узнаешь

и что тебе даст сбандленное приложение? Это тебе не сырцы

а декомпилировать objc я боюсь ты вскроешься)

и что тебе даст сбандленное приложение? Это тебе не сырцы

Ну да, понять скомпиленный код ведь НЕВОЗМОЖНО

https://github.com/benloopcompany/react-native-hockeyapp

Кстати, я собрал приложение, выложил его в hockey app, а оно чёт не хочет собираться(

я черт знает во что objc компиляется :)

А еще не забывайте про джейлбрейк, где можно делать что угодно

Ну да, понять скомпиленный код ведь НЕВОЗМОЖНО

сишка только в асм даст дизаснмблить

но подозреваю что в нечто абсолютно отвратительно

И дебажить хоть ядро ситемы

А еще не забывайте про джейлбрейк, где можно делать что угодно

jb IOS11+?)

И дебажить хоть ядро ситемы

удачи) видать не один девайс хакнул

jb IOS11+?)

Дык на него и не таргетятся

Зачем взламывать приложения?

удачи) видать не один девайс хакнул

https://bugs.chromium.org/p/project-zero/issues/detail?id=1417#c3 вот архив с кернел дебаггером на iOS 11

Все что может ломаться не держат внутри приложения.

Бизнес логика на серваках не?

не, чувак. Либо ты не очень понимаешь о чем говоришь либо готов копаться в дизассемблированном асме

https://bugs.chromium.org/p/project-zero/issues/detail?id=1417#c3 вот архив с кернел дебаггером на iOS 11

удачи))) вначале попробуй

не, чувак. Либо ты не очень понимаешь о чем говоришь либо готов копаться в дизассемблированном асме

и при этом не очень понятно почему ты до сих пор не в психушке)

удачи))) вначале попробуй

Я-то попробовал)

пиздануть все что угодно можно))

не, чувак. Либо ты не очень понимаешь о чем говоришь либо готов копаться в дизассемблированном асме

Дык и не надо копаться, энивей нативный код рано или поздно вызовется из ненативного

Если говорить про RN или андроид

А уж его разобрать раз плюнуть

Если говорить про RN или андроид

да, но он может не передать то что ты хочешь)

пиздануть все что угодно можно))

Я по-крайней мере вытаскивал апи-ключи из приложений, где авторы тоже думали, что никто не вытащит его

ох ладно, тебе виднее. Ты не Solution Architect часом?)

ох ладно, тебе виднее. Ты не Solution Architect часом?)

Нужно быть архитектом, чтобы реверсить приложения, с каких это пор?)))

Нужно быть архитектом, чтобы реверсить приложения, с каких это пор?)))

как минимум психом)

как минимум психом)

Не, если серьезно, джаву реверсить просто, например

Как и Xamarin

В два клика получаешь исходники

Я по-крайней мере вытаскивал апи-ключи из приложений, где авторы тоже думали, что никто не вытащит его

ну молодец) я тебе про возможность реалтайм генерации ключей с временем жизни... даже вытащишь ключик, когда будешь его юзать снрвак пошлет куда подальше

да, но он может не передать то что ты хочешь)

И как тогда само приложение работать будет?

И как тогда само приложение работать будет?

ну так ты и не узнаешь))) односторонняя передача в натив к примеру

ну молодец) я тебе про возможность реалтайм генерации ключей с временем жизни... даже вытащишь ключик, когда будешь его юзать снрвак пошлет куда подальше

Хорошо - подрубаешь эту нативную либу к своему приложению и генеришь ключи сколько угодно

Хорошо - подрубаешь эту нативную либу к своему приложению и генеришь ключи сколько угодно

не прокатит

ну так ты и не узнаешь))) односторонняя передача в натив к примеру

А натив постучится в апи системы рано или поздно

А натив постучится в апи системы рано или поздно

запросы на сервак можно и так слать)

запросы на сервак можно и так слать)

Без системного апи? Ну и как же?)

на сяшечках

А сяшечки постучатся в апи

на этом уровне ты получишь уже зашифрованные данные

на этом уровне ты получишь уже зашифрованные данные

Ну я и говорю, что мешает подрубить либу в мое приложение?

Конкретику, пожалуйста

А не «не выйдет»

а на деле вся эта история обходится генерацией уникального токена под конкретный девайс на бэке :) Что то из серии того как apns устроен

а ну да, и vpn-ом :)

сишка только в асм даст дизаснмблить

HexRays передает привет

а на деле вся эта история обходится генерацией уникального токена под конкретный девайс на бэке :) Что то из серии того как apns устроен

Ну и как это мне мешает симулировать девайс?

А никак

Не, если серьезно, джаву реверсить просто, например

Обфускация твой друг

если ты насколько упорот в безопасность, юзай вайтлисты прегенеренных юидов железно к девайсу

Обфускация твой друг

Никто ее не юзает. Прогард не в счет

если ты насколько упорот в безопасность, юзай вайтлисты прегенеренных юидов железно к девайсу

Подставлю юид из вайтлиста

Никто ее не юзает. Прогард не в счет

Прогвард лучше чем нихуя :)

хрен там, не совпадет с железякой и привет

хрен там, не совпадет с железякой и привет

Почему не совпадет?