У меня был проект iOS с открытым исходным кодом, и он был доступен через GitHub. Я использую Fabric во всех проектах - для оперативной статистики, отчетов о сбоях и т. Д.
Недавно я узнал, что мой ключ API Fabric был в Info.plist, а секретный ключ сборки был доступен через Build Phase (черезнастройки проекта в Xcode). Я заметил это по электронной почте:
AppName (***.***.***h) был успешно добавлен.
Представленный bundleID был точно таким же, как мое приложение, за исключением того, что заканчивалось "h". Поэтому я думаю, что кто-то вытащил хранилище приложений и собрал его, и в Fabric было добавлено новое приложение (с этим bundleID).
Мои вопросы:
- Вредны ли утечки API-ключа и секретного ключа сборки? Что они могут сделать, используя эти ключи?
- Что мне теперь делать ?! Я знаю, что можно изменить Build Secret Key, но достаточно ли этого?
- Как я могу предотвратить использование этих ключей в проектах с открытым исходным кодом и с открытым исходным кодом?