Il team di sicurezza ha rilevato informazioni riservate divulgate in info.plist
, inoltre sono state esposte le chiavi API. Viene utilizzato Fabric
e la chiave API Fabric è il modo per autenticare gli utenti oi loro client per tutti i loro servizi.
Inoltre, secondo il team di sicurezza, il token è stato memorizzato all'interno del file plist e questo può essere pericoloso perché gli utenti con iphone jailbroken o che hanno eseguito il backup dei loro dispositivi mobili sono esposti.
Ma quando questo è stato inoltrato al team di sviluppo, hanno trovato:
This is the suggested integration from Fabric - Fabric provides a plugin to integrate with their SDK. Also, this api key is bound with our app package and the SDK is only associated with the crashes and not any sensitive information.
Sono stati anche rivelati token (token push), ad esempio
Maaquestolosviluppatoredice:
ThisisnotanAPIkey,justatokentosuggestthatapushnotificationwasreceivedonthedevice.
Fondamentalmente,lalineadifondoèchenegherebberoqualsiasiinformazionechevienerivelatanonabbastanzasensibileperloroedovrebbeesserequellacheèstatadocumentazionediFabric
Quindi la domanda è, per essere molto chiaro e trasparente per il team di sviluppo, come potrebbe essere presentato nel modo giusto e l'esposizione delle API Key nel contesto dei file plist in iOS è un problema di sicurezza o ho sbagliato qui?
EDIT: ho trovato uno use case qui ma questo ha a che fare con Google API Keys. Inoltre è per Android.