Quelle est la sécurité d'un sel de sécurité dans une application iPhone?

Question

Je veux empêcher les utilisateurs d'altérer les données générées dans mon application iPhone, telles que les scores élevés. Donc, je pense à l'aide d'un hachage MD5 des données pertinentes, et un sel de sécurité dur codé dans l'application. Lorsque les données sont relues, je crée un nouveau hachage et le compare à l'ancien hachage. S'il y a une différence, je sais que quelqu'un a triché avec les données.

Je devine qu'il va toujours être un moyen pour les gens de la contourner, mais cette méthode faire;

• Très difficile.
• Tricky de contourner.
• Cela ne fait aucune différence.

Answer 1

Je dirais que difficile, mais pas très difficile. Il est encore assez simple de passer à travers un débogueur et de regarder le sel chargé dans la mémoire, bien que cela suffise certainement à éloigner la grande majorité des utilisateurs.

Malheureusement, c'est le problème de DRM classique, et n'a pas de solution contre un attaquant suffisamment motivé. Votre meilleur pari est de créer autant d'obstacles que possible, de sorte que cela ne vaille pas le temps de quelqu'un.

Peut-être que le score élevé pourraient en outre quelques détails sur l'état du jeu, qui vous permettra de vérifier les incohérences qui pourraient donner un utilisateur. Par exemple, si vous voyez qu'un utilisateur a atteint 1 000 000 de points mais n'a atteint que le niveau 2, alors vous savez que quelque chose est en place!

Une victoire rapide qui va au moins vaincre un utilisateur exécutant strings contre votre binaire est de s'assurer que la chaîne de sel ne semble pas évidente; n'utilisez pas "saltsaltsalt"!