Divulgación de información confidencial a través de plist en iOS, ¿afecta esto a la seguridad?

1

El equipo de seguridad ha encontrado información confidencial que se revela en info.plist , las claves API también fueron expuestas. Se está utilizando Fabric y la clave API de Fabric es la forma de autenticar a los usuarios o sus clientes para todos sus servicios.

También de acuerdo con el equipo de seguridad, Token se almacenó dentro del archivo plist y esto puede ser peligroso porque los usuarios con iphones con jailbreak o que han respaldado sus móviles están expuestos.

Pero cuando esto se extendió al equipo de desarrollo, se les ocurrió:

This is the suggested integration from Fabric - Fabric provides a plugin to integrate with their SDK. Also, this api key is bound with our app package and the SDK is only associated with the crashes and not any sensitive information.

También se revelaron tokens (token tokens), por ejemplo,

Peroaestoeldesarrolladordice:

ThisisnotanAPIkey,justatokentosuggestthatapushnotificationwasreceivedonthedevice.

Básicamente,laconclusiónesquenegaríanquelainformaciónquesedivulguenosealosuficientementesensibleparaellosydeberíaserladeFabricDocs integra la API de la misma manera.

Entonces, la pregunta es, para ser muy claro y transparente para el equipo de desarrollo, ¿cómo podría presentarse esto de manera correcta y la exposición de las Claves API en el contexto de los archivos de plist en iOS es un problema de seguridad o me había equivocado?

EDITAR: He encontrado uno caso de uso aquí, pero esto tiene que ver con las claves API de Google. También es para Android.

    
pregunta Shritam Bhowmick 10.12.2015 - 16:51
fuente

0 respuestas

Lea otras preguntas en las etiquetas