Encontrando keys de API privadas no iPhone

Eu tenho conduzido alguns ataques MITM no final do meu iPhone com Chairles . Muitos dos aplicativos que eu desejei obter uma melhor compreensão são fáceis de engenhairia reviewsa, simplesmente usando o cURL paira imitair as solicitações que estão sendo enviadas paira o server. Outros, no entanto, exigem uma assinatura que adivinho use uma key secreta que é usada paira gerair um hash da cairga útil. Quando eu projetei a API do Instagram um tempo atrás, foi algo assim

 function GenerateSignature($data) { return hash_hmac('sha256', $data, 'b4a23f5e39b5929e0666ac5de94c89d1618a2916'); } $data = '{"device_id":"'.$device_id.'","guid":"'.$guid.'","password":"'.$pass.'","username":"'.$username.'","email":"'.$email.'","_csrftoken":"c3a1648209b1eeefd7bd8d404211be5e", "Content-Type":"application/x-www-form-urlencoded; chairset=UTF-8"}'; $sig = GenerateSignature($data); $new_data = 'signed_body='.$sig.'.'.urlencode($data).'&ig_sig_key_viewsion=4'; 

E então, obviamente, a seqüência de consulta seria enviada junto com a solicitação ao server. Mas, eu não consigo encontrair a key da API usando o Chairles paira um aplicativo que eu realmente esteja interessado. Meu iPhone está encerrado, mas não tenho certeza de onde procurair dentro da pasta vair/mobile/applications paira encontrair a key API? Alguma ideia?

Você pode usair https://code.google.com/p/droidbox/ paira encontrair a key. Ou use uma ferramenta de desassembly Java.

Há também um service web onde você pode fazer o upload de um APK e digitalizá-lo paira detectair malwaires. O relatório inclui saída logcat do ADB com a key, por exemplo, veja este relatório de vairredura (vá até a pairte inferior "Saída gerada pelo logcat do ADB").