根据我的理解,当你将iOS应用程序上传到App Store并且它被批准时,Apple有一个过程,他们实际上只使用他们拥有的密钥加密应用程序(它也被烘焙到所有Apple设备中),然后重新签名(因为他们没有原始发布者的私人签名密钥)。因此,有人从App Store下载的实际应用程序不再包含任何加密“证据”,即它是发布者发送给他们的应用程序。
无论Apple是否愿意承担修改上传应用程序的风险(为了获得什么收益?),似乎作为软件发行商,如果不是不可能的话,确保从App Store下载的内容非常困难在Apple加密/重新签名之前,它在某些时候没有被篡改过。
是的,它可以安装在越狱设备上,而离合器等工具可以再次解密,但是没有简单的方法可以检测是否已经进行了一些我可以确定的修改。理想情况下,我希望在应用程序中进行某种运行时检查,无论如何它都没有被篡改或重新打包,但是虽然我可以为不通过应用程序商店分发的应用程序执行此操作,但似乎可能无法实现适用于应用商店应用。
另外,有没有人知道TestFlight应用程序的流程是否相同?
这根本不可能在任何非越狱设备上,因为您无法从沙箱中访问可执行文件。为了检查更改,您必须转义沙箱,解密可执行文件,然后获取hashsum(sha1,md5 ...)并将其与上载的版本进行比较。