AWS SDK for C++ 在 iOS 应用商店审核中的加密 API 问题解析

在 iOS 应用开发中，使用 AWS SDK for C++ 时可能会遇到一个棘手的问题：应用在上传至 App Store Connect 时被拒绝，原因是引用了苹果的非公开 API。本文将深入分析这一问题的成因、影响范围以及解决方案。

问题现象

开发者在使用最新版 AWS SDK for C++（1.11.561 静态库版本）构建 iOS 应用时，App Store 审核会返回以下错误信息：

应用在 Payload/App.app 中引用了非公开符号：
_CCCryptorGCMAddAAD, _CCCryptorGCMFinalize, _CCCryptorGCMSetIV

这些符号属于苹果的 CommonCrypto 框架中的私有 API，苹果严格禁止应用商店中的应用使用这些非公开接口。

技术背景

AWS SDK for C++ 的加密功能依赖于其底层库 aws-c-cal。该库在 Darwin（苹果操作系统）平台上默认会使用 CommonCrypto 框架来实现加密算法，包括 AES-GCM 加密相关的功能。为了提高性能，aws-c-cal 直接调用了 CommonCrypto 中的一些高级加密接口，而这些接口恰好是苹果未公开的。

解决方案

AWS 团队已经为这个问题提供了官方解决方案。开发者可以通过在构建配置中添加特定参数来规避这个问题：

1. 在 CMake 配置中添加 -DAWS_APPSTORE_SAFE=ON 参数
2. 这将启用 aws-c-cal 中的安全模式，避免使用那些会导致审核失败的私有 API

需要注意的是，启用此选项后，AES-GCM 加密功能将无法正常工作。但对于大多数使用场景（如使用 libcurl 进行 TLS 通信或进行 SigV4 签名），这个限制不会产生影响。

构建建议

对于 iOS 应用开发，推荐使用以下构建配置：

cmake . -B ./build -G Xcode \
    -DCMAKE_BUILD_TYPE=Release \
    -DCPP_STANDARD=17 \
    -DBUILD_SHARED_LIBS=OFF \
    -DTARGET_ARCH=APPLE \
    -DCMAKE_OSX_SYSROOT=iphoneos \
    -DCMAKE_OSX_ARCHITECTURES=arm64 \
    -DCMAKE_OSX_DEPLOYMENT_TARGET="13.0" \
    -DAWS_APPSTORE_SAFE=ON

技术影响

启用 AWS_APPSTORE_SAFE 后，SDK 的加密行为会有以下变化：

• 签名验证和哈希计算会回退到使用苹果的 CommonCrypto 公开接口
• TLS 通信仍可使用开发者提供的 OpenSSL 静态库
• 系统会避免所有可能触发审核问题的私有 API 调用

结论

对于需要在 iOS 平台发布应用的开发者，使用 AWS_APPSTORE_SAFE 选项是确保应用通过苹果审核的必要步骤。AWS 团队已经将此修复合并到主分支，开发者可以放心使用最新版本的 SDK 进行开发。

这个问题也提醒我们，在使用第三方 SDK 时，特别是涉及系统级功能的库，需要特别注意其对平台私有 API 的依赖情况，并在构建配置中进行适当的调整以确保合规性。