Flutter 保存条带'；在你的Flitter应用程序中有一个密钥

在应用程序中保存条带密钥有多不安全？或者通过Firebase远程配置返回它？我知道你可以反编译和反转apk，或者访问RAM并从那里获取密钥，但这有多困难？当你的应用程序使用不多的时候，至少在开始的时候，用“简单的方式”做一些事情值得吗？

你可以将你的密钥保存在你的应用程序中。但是，你必须考虑在构建应用程序时混淆你的应用程序。 混淆你的应用程序

要混淆应用程序，请使用--obfuscate标志和--split debug info标志构建发布版本。--split debug info标志指定颤振可以输出调试文件的目录。此命令生成符号映射。目前支持apk、appbundle、ios和ios框架目标

---

您可以阅读。

您可以将密钥保存在应用程序中。但是，你必须考虑在构建应用程序时混淆你的应用程序。 混淆你的应用程序

要混淆应用程序，请使用--obfuscate标志和--split debug info标志构建发布版本。--split debug info标志指定颤振可以输出调试文件的目录。此命令生成符号映射。目前支持apk、appbundle、ios和ios框架目标

您可以阅读。

移动应用程序二进制静态分析 在应用程序中保存条带密钥有多不安全

非常不安全，因为有很多开源工具可以帮助您在几分钟内完成此任务，如

Mobile Security Framework是一个自动化的多功能移动应用程序（Android/iOS/Windows）笔式测试框架，能够执行静态分析、动态分析、恶意软件分析和web API测试

您可以在我的文章中看到我是如何使用MobSF工具来实现这一点的 :

可用于反向工程的开源工具的范围是巨大的，在本文中我们确实无法触及这个主题的表面，但是，我们将重点使用来演示如何反向工程我们的移动应用程序的APK。MobSF是一个开源工具的集合，这些工具在一个吸引人的仪表板中展示了它们的结果，但是MobSF内部和其他地方使用的相同工具可以单独使用以实现相同的结果

本文甚至向您展示了如何在Linux中使用

strings

命令在您的移动应用程序二进制文件中查找可能的机密

这有多难？ 我知道你可以反编译和反转APK，或者访问RAM并从那里获取密钥，但这有多困难

如果你阅读了上面的链接，你现在已经知道从一个移动应用程序二进制文件中提取一个秘密有多容易了

从RAM开始并不是那么容易，但也不是太难，因为现在又有很多开源工具可以帮助您完成这项任务，而最流行的工具似乎是：

将您自己的脚本注入黑盒进程。钩住任何函数，监视加密API或跟踪私有应用程序代码，无需源代码。编辑，点击保存，并立即查看结果。所有这些都没有编译步骤或程序重新启动

火基 或者通过Firebase远程配置返回它

这个问题也不难克服，因为攻击者只需要在运行时使用Frida钩住返回或使用秘密的函数，然后提取它

安全不是一种选择 当你的应用程序使用率不高时，至少在一开始就“以简单的方式”做一些事情值得吗

不，不是，绝对不是。在这种情况下，您的秘密代表金钱，访问支付网关是一个秘密。你能想象攻击者代表你使用你的Stripe帐户会带来怎样的财务影响吗

但即使在其他情况下，移动应用程序中存储的秘密也会对您的业务造成巨大的经济损失，因为通常情况下，这些秘密被用于访问第三方付费服务，因此，如果攻击者掌握了这些秘密，那么他可以在您付费时使用该服务，通常，只有当您的提供商向您发送账单或高使用率警报时，您才会发现它

那么你真的想冒险吗

第三方API访问 在应用程序中保存条带密钥有多不安全？或者通过Firebase远程配置返回它

永远不要从您的移动应用程序中访问第三方API，除非从您自己的后端或您完全控制的反向代理在技术上无法访问

你可以从我的文章中了解更多

在本文中，您将首先了解什么是第三方API，以及为什么不应该直接从移动应用程序中访问它们。接下来，您将了解什么是反向代理，以及何时以及为什么应该使用它来保护对移动应用程序中使用的第三方API的访问

你想多跑一英里吗？ 在回答任何一个安全问题时，我总是喜欢引用OWASP基金会的优秀作品。

用于API

OWASP API安全项目旨在通过强调不安全API中的潜在风险，并说明如何减轻这些风险，为软件开发人员和安全评估人员提供价值。为了实现这一目标，OWASP API安全项目将创建并维护一份前10位API安全风险文档，以及创建或评估API时最佳实践的文档门户

用于移动应用程序

OWASP移动安全项目是一个集中的资源，旨在为开发人员和安全团队提供构建和维护安全移动应用程序所需的资源。通过该项目，我们的目标是对移动安全风险进行分类，并提供开发控制，以减少其影响或被利用的可能性

:

《移动安全测试指南》（MSTG）是一个全面的