简单的问题,没什么大不了的。
我正在尝试通过验证后端由Android SafetyNet和Apple DeviceCheck生成的令牌来保护React-Native应用程序。然后,在设备通过后端的证明/设备检查后,我创建对 API 的访问令牌。
我的问题是,黑客能否绕过Apple的DeviceCheck(和Google的SafetyNet(,并且仍然从Apple的API生成有效的令牌,尽管该设备已越狱?
如果设备通过了苹果的isSupported检查,它就有资格从苹果那里取回密钥。
理想情况下,您应该使用一些代码混淆工具,例如 arxan/digital.ai它们提供静态越狱和动态检测检查。使用它,您应该旨在混淆包含生成密钥和证明密钥调用的代码。
为什么要混淆这两个?
generatekey- 替换为对手拥有的密钥可能会损害循环的其余部分。attestkey- 阻止重播和阻止证明对象可移植性。