切勿将内部测试版本随意发放测试

工作中发现的一些问题

在一些公司中，为了测试的方便，经常会使用他们的企业证书去部署应用到测试设备上面。这样看似没什么问题，但是这里隐藏了一个安全问题。就是代码中的方法名和字符串经过反汇编都会一览无余地显示出来。

一些实践

工具：Hopper

Hopper 是一个OSX平台下的反汇编程序，可以将二进制的可执行文件反汇编，查看程序中的方法，地址，字符串等，功能比较强大。

通过PP助手下载渠道包 .ipa 文件，解压缩之后进入 payload 目录下，将 .app 文件拖入 Hopper 中。之后一路默认选项。反汇编之后，我们在 String 的标签中可以看到一些乱码。这是由于在将 app 上传到 iTunes Connect 发布之后，苹果会对代码进行加密和混淆，使得字符串变成了一堆乱码，方法名称也全部变成了 c++ 标准库的代码。

经由企业证书打包部署渠道下载的 .ipa 文件，解压后发现，其文件结构和 AppStore 渠道下发的压缩包中目录结构明显不同。只有一个 payload 文件夹。再次将这个文件夹中的 .app 文件拖入 Hopper 中以默认选项进行反编译。结果发现，程序中的方法名称，字符串一览无余的以明文方式显示在 Hopper 中，包括 App 中用到的 AppKey ，AppSecret，token 以及众多的调试用信息都会显示出来。

结论

综上所述，如果企业渠道的内测版本文件被别有用心者获取之后，将会使重要的字段信息泄漏，从而导致请求被模拟或者身份被仿冒等安全问题的发生。

Tips

在测试中务必使用 Adhoc 证书进行小范围有限发布测试，并且注意一定要限制测试的范围，不可使别有用心的人获取到这些敏感信息。