写点什么

现代 iOS 应用安全

  • 2016-08-08
  • 本文字数:1688 字

    阅读完需:约 6 分钟

在 QCon 纽约 2016 大会上, Trail of Bits 首席执行官兼安全专家 Dan Guido 阐述了如何确保 iOS 应用安全,包括正确地使用所有 iOS 安全配置,而且不要忘记,应用可能运行在一部已经越狱的手机上。

如 Guido 所言,iOS 应用安全取决于操作系统层,后者提供了应用程序代码签名和一个沙箱模型。代码签名让追踪每个 4KB 页的所有者成为可能,而沙箱模型会限制应用访问其他的应用,保护系统文件和资源,这样,即使是恶意应用也很难制造任何麻烦。

据 Guido 介绍,iOS 安全的基础是 Secure Enclave,这是一个在制造时分配的单独的设备密匙,在应用层无法访问,也就是说,无法在 Secure Enclave 外面读取安全密钥。这项技术被用于 iOS 上所有的加密操作以及 Apple Pay 和 Keychain 保护。

按照 Guido 的说法,开发人员应该遵循三个基本的 iOS 应用安全原则。

  • 仅使用 HTTPS:这通过总是在 URL 指定https来实现。在这种情况下,NSURLConnectionNSURLSession会使用 App Transport Security (ATS),这可以保证你恰当地使用了 TLS 1.2、证书验证等。此外,Guido 建议使用 TrustKit ,该框架让你可以轻松地部署绑定到任意 iOS 或 OS X 应用的 SSL 公共密钥,监控绑定验证失败。

  • 使用加密:应该使用 DPAPI 和 Keychain 加密所有的文件、密码和令牌。Guido 用一些时间介绍了 DPAPI 提供的选项:

    • 加密文件:NSFileProtectionCompleteNSFileProtectionCompleteUnlessOpenNSFileProtectionCompleteUntilFirstAuth
    • 将 NSData 写到磁盘:NSDataWritingProtectionCompleteNSDataWritingProtectionCompleteUnlessOpenNSDataWritingProtectionCompleteUntilFirstAuth

    Stack Overflow 上有个帖子提供了有关它们的一些值得注意的细节。

  • 清理:这是避免留下敏感数据的基本步骤。虽然几乎所有存储在磁盘上的文件都是加密的,但是 Guido 警告说要提防若干不容易察觉的危险。特别地,iTunes 备份的存储是不加密的,因此,通过攻击桌面操作系统而不是 iOS窃取敏感数据就成为一种可能。Guido 提到,你可以禁止使用 NSURLIsExcludedFromBackupKey密钥向 iCloud 或 iTunes 同步。此外,在UIPasteboard、URL 或者键盘缓存、iOS 自动获取的应用后台快照、cookies、NSLog 记录等地方,应用通常会留下一定量未加密的潜在敏感数据。所有这些风险都可以通过遵循恰当的策略来避免,例如,重写applicationDidEnterBackground,将hidden设为YES;使用secureTextEntry,禁用自动更正,从而规避键盘缓存,等等。

Guido 总结道,做完这些基本工作后,就可以考虑消除其他层面的风险,比如自定义 URL 处理器、UIWebView中的 XSS、XML 解析、SQL 注入,等等。

不过,当应用运行在已经越狱的手机上时,所有那些配置就都不是很有效了。越狱是禁用了基本安全机制的漏洞利用程序。它们可以被用来攻击手机,并取得手机的控制权,但有趣的是,用户因为种种原因自愿越狱,比如访问第三方应用商店,替换默认应用,自定义操作系统外观,解锁设备。按照 Guido 的说法,多达 700 万 iPhone 用户已经越狱了他们的手机,也就是说,运行在这些手机上的恶意应用可以绕过所有的设备安全机制,比如 Keyraider 就窃取了 225000 台设备的 Apple ID 证件用于应用内购买。

对于运行在已经越狱的手机上的应用,有几种方法可以提升它的安全性。

  • 当运行在已经越狱的设备上时,检测成功越狱后留下的系统工件。通常,这可以归结为实现若干检查,比如是否存在 ssh、Cydia.app 文件、fork()系统调用,等等
  • 拒绝调试或钩挂应用程序的尝试,防止绕过越狱检查的攻击者使用调试器或者特定的工具,如 tsProtector xCon 。通常,这可以通过在运行时使用sysctl找出谁是应用的属主来实现:如果它不是launchd或内核,就可以退出或更改执行。
  • 增加理解由 IDA Pro Hopper Binary Ninja 生成的拆解应用代码的难度。其实现可以借助一些迷惑技术将不使用的代码增加 100 倍,加密符号,使用谓词,等等。

最后一点,Guido 强调了全面实施上述所有配置的重要性,借助一个 LLVM 的修改版本在编译时修改代码,不依赖个体程序员在必要的地方增加检查。

感兴趣的读者可以在 InfoQ 上观看完整视频

查看英文原文 Modern iOS Application Security

2016-08-08 19:003172
用户头像

发布了 1008 篇内容, 共 430.7 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

【每日学点HarmonyOS Next知识】输入框自动获取焦点、JS桥实现方式、Popup设置全屏蒙版、鼠标事件适配、Web跨域

轻口味

HarmonyOS HarmonyOS NEXT

不到千元“打包”带走!华为云Flexus数字人助力中小企业降本增效

平平无奇爱好科技

中小企业的高性价比之选!华为云Flexus数字人引领内容产出新潮流

平平无奇爱好科技

【每日学点HarmonyOS Next知识】输入法光标控制、Text部分圆角、Web组件缓存、Grid问题、Web出现PC效果

轻口味

HarmonyOS HarmonyOS NEXT

不到千元即可拥有专属数字人!华为云Flexus数字人应用范围有多广?

平平无奇爱好科技

2分钟生成数字人视频!华为云Flexus数字人助力中小企业高效创作

平平无奇爱好科技

INFINI Labs 产品更新 | Easysearch 增加异步搜索等新特性

极限实验室

console Gateway easysearch CocoAI

【每日学点HarmonyOS Next知识】JSBridge通信、输入框提示文字大小、读书翻页效果、Web回调函数、翻页自动轮播

轻口味

HarmonyOS HarmonyOS NEXT

【每日学点HarmonyOS Next知识】Web跨域资源、Web长按菜单、Web拦截请求、禁止录屏、Base64图片宽高

轻口味

HarmonyOS HarmonyOS NEXT

迎接deepseek,助力企业AI整合

weigeonlyyou

AI AI软件 AI编程 AI软件开发 AI软件外包

制作便捷,门槛更低!华为云Flexus数字人开启电商数字化营销新篇章

平平无奇爱好科技

不到千元轻松入手!华为云Flexus数字人制作简单、效果极佳

平平无奇爱好科技

【每日学点HarmonyOS Next知识】Tab切换声明周期、复杂Json组装、scroll最大高度、引用传递报错、Web性能

轻口味

HarmonyOS HarmonyOS NEXT

反向海淘反向代购独立站系统的终极神器?Hoobuy+电商API,让独立站躺着“搬砖”

代码忍者

【每日学点HarmonyOS Next知识】动图循环播放、监听tab切换、富文本上下滚动、tab默认居中、a标签唤起拨号

轻口味

HarmonyOS HarmonyOS NEXT

【每日学点HarmonyOS Next知识】tabs切换卡顿、输入框焦点、打开全新web、输入框密码类型、非法变量值

轻口味

HarmonyOS HarmonyOS NEXT

【每日学点HarmonyOS Next知识】输入框限制小数位数、列表偏移计算、web请求header问题、对话框宽度、Web权限

轻口味

HarmonyOS HarmonyOS NEXT

【每日学点HarmonyOS Next知识】对话框回调问题、输入区域最大行数、web自定义节点、icon图标库、软键盘开关

轻口味

HarmonyOS HarmonyOS NEXT

Paper Reading | AI & 数据库融合经典论文回顾

KaiwuDB

AI 数据库、

“千元级”分身数字人来了!华为云Flexus助力中小企业探索营销新方式

平平无奇爱好科技

1:1复刻真实形象!华为云Flexus数字人门槛更低、效果更佳

平平无奇爱好科技

【每日学点HarmonyOS Next知识】Web上传文件、监听上下左右区域连续点击、折叠悬停、字符串相关、播放沙盒视频

轻口味

HarmonyOS HarmonyOS NEXT

加速中小企业数字化转型!华为云Flexus数字人有多强?

平平无奇爱好科技

不到千元体验最新数字人技术!华为云Flexus数字人效果领先更超值

平平无奇爱好科技

【每日学点HarmonyOS Next知识】双向传值问题、子组件半径、VIdeo标签下载隐藏、字符串替换、路由问题

轻口味

HarmonyOS HarmonyOS NEXT

现代iOS应用安全_安全_Sergio De Simone_InfoQ精选文章