Mi sono imbattuto in questi post del blog in cui un utente è riuscito a estrarre la chiave privata di Instagram dall'app per Android: link
Che potrebbe quindi essere utilizzato allo scopo di sfruttare l'API privata di Instagram, in questo modo: link
Da questo sono emerse alcune domande personali:
- C'è qualcos'altro che gli ingegneri della sicurezza di Instagram avrebbero potuto fare per impedire che ciò accadesse? Presumo che siano ingegneri del software estremamente talentuosi, ma avere un utente in possesso di un'app, in questo caso nella forma di un android
.apk
, rende sempre più semplice / sempre possibile per le persone scoprire chiavi segrete? - Le app Web sono intrinsecamente più sicure rispetto alle app mobili? Diciamo che l'app web Instagram è identica alla loro app mobile. Sarebbe ancora possibile per qualcuno estrarre le chiavi segrete dell'app Web, oppure è molto più difficile, se non impossibile, da eseguire perché l'utente non sarà mai in possesso del codice sorgente completo dell'app Web.