70+专家分享实战经验,2024年度AI最佳实践都在AICon北京 了解详情
写点什么

现代 iOS 应用安全

  • 2016-08-08
  • 本文字数:1688 字

    阅读完需:约 6 分钟

在 QCon 纽约 2016 大会上, Trail of Bits 首席执行官兼安全专家 Dan Guido 阐述了如何确保 iOS 应用安全,包括正确地使用所有 iOS 安全配置,而且不要忘记,应用可能运行在一部已经越狱的手机上。

如 Guido 所言,iOS 应用安全取决于操作系统层,后者提供了应用程序代码签名和一个沙箱模型。代码签名让追踪每个 4KB 页的所有者成为可能,而沙箱模型会限制应用访问其他的应用,保护系统文件和资源,这样,即使是恶意应用也很难制造任何麻烦。

据 Guido 介绍,iOS 安全的基础是 Secure Enclave,这是一个在制造时分配的单独的设备密匙,在应用层无法访问,也就是说,无法在 Secure Enclave 外面读取安全密钥。这项技术被用于 iOS 上所有的加密操作以及 Apple Pay 和 Keychain 保护。

按照 Guido 的说法,开发人员应该遵循三个基本的 iOS 应用安全原则。

  • 仅使用 HTTPS:这通过总是在 URL 指定https来实现。在这种情况下,NSURLConnectionNSURLSession会使用 App Transport Security (ATS),这可以保证你恰当地使用了 TLS 1.2、证书验证等。此外,Guido 建议使用 TrustKit ,该框架让你可以轻松地部署绑定到任意 iOS 或 OS X 应用的 SSL 公共密钥,监控绑定验证失败。

  • 使用加密:应该使用 DPAPI 和 Keychain 加密所有的文件、密码和令牌。Guido 用一些时间介绍了 DPAPI 提供的选项:

    • 加密文件:NSFileProtectionCompleteNSFileProtectionCompleteUnlessOpenNSFileProtectionCompleteUntilFirstAuth
    • 将 NSData 写到磁盘:NSDataWritingProtectionCompleteNSDataWritingProtectionCompleteUnlessOpenNSDataWritingProtectionCompleteUntilFirstAuth

    Stack Overflow 上有个帖子提供了有关它们的一些值得注意的细节。

  • 清理:这是避免留下敏感数据的基本步骤。虽然几乎所有存储在磁盘上的文件都是加密的,但是 Guido 警告说要提防若干不容易察觉的危险。特别地,iTunes 备份的存储是不加密的,因此,通过攻击桌面操作系统而不是 iOS窃取敏感数据就成为一种可能。Guido 提到,你可以禁止使用 NSURLIsExcludedFromBackupKey密钥向 iCloud 或 iTunes 同步。此外,在UIPasteboard、URL 或者键盘缓存、iOS 自动获取的应用后台快照、cookies、NSLog 记录等地方,应用通常会留下一定量未加密的潜在敏感数据。所有这些风险都可以通过遵循恰当的策略来避免,例如,重写applicationDidEnterBackground,将hidden设为YES;使用secureTextEntry,禁用自动更正,从而规避键盘缓存,等等。

Guido 总结道,做完这些基本工作后,就可以考虑消除其他层面的风险,比如自定义 URL 处理器、UIWebView中的 XSS、XML 解析、SQL 注入,等等。

不过,当应用运行在已经越狱的手机上时,所有那些配置就都不是很有效了。越狱是禁用了基本安全机制的漏洞利用程序。它们可以被用来攻击手机,并取得手机的控制权,但有趣的是,用户因为种种原因自愿越狱,比如访问第三方应用商店,替换默认应用,自定义操作系统外观,解锁设备。按照 Guido 的说法,多达 700 万 iPhone 用户已经越狱了他们的手机,也就是说,运行在这些手机上的恶意应用可以绕过所有的设备安全机制,比如 Keyraider 就窃取了 225000 台设备的 Apple ID 证件用于应用内购买。

对于运行在已经越狱的手机上的应用,有几种方法可以提升它的安全性。

  • 当运行在已经越狱的设备上时,检测成功越狱后留下的系统工件。通常,这可以归结为实现若干检查,比如是否存在 ssh、Cydia.app 文件、fork()系统调用,等等
  • 拒绝调试或钩挂应用程序的尝试,防止绕过越狱检查的攻击者使用调试器或者特定的工具,如 tsProtector xCon 。通常,这可以通过在运行时使用sysctl找出谁是应用的属主来实现:如果它不是launchd或内核,就可以退出或更改执行。
  • 增加理解由 IDA Pro Hopper Binary Ninja 生成的拆解应用代码的难度。其实现可以借助一些迷惑技术将不使用的代码增加 100 倍,加密符号,使用谓词,等等。

最后一点,Guido 强调了全面实施上述所有配置的重要性,借助一个 LLVM 的修改版本在编译时修改代码,不依赖个体程序员在必要的地方增加检查。

感兴趣的读者可以在 InfoQ 上观看完整视频

查看英文原文 Modern iOS Application Security

2016-08-08 19:002725
用户头像

发布了 1008 篇内容, 共 388.5 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

重磅升级!TDengine3.0正式发布

TDengine

数据库 tdengine 时序数据库

重磅发布!阿里云全链路数据湖开发治理解决方案

阿里云大数据AI技术

大数据 阿里云 数据湖 数据分析

XSKY星辰天合与观测云完成产品兼容性互认证 构建全业务链路的可观测性

观测云

从GitHub火到了InfoQ!共计1658页的《Java岗面试核心MCA版》,拿走不谢

收到请回复

Java 程序员 金九银十 Java面试八股文 常见面试题

CSDN 加入星策开源社区,携手推动企业智能化转型建设

星策开源社区

企业转型 智能化 CSDN

从0到1打造推荐系统工程实战

Jay Wu

推荐系统

种草 Vue3 中几个好玩的插件和配置

江南一点雨

Java Vue

【Java】:程序流程的控制

翼同学

Java 学习 编程语言 分享 8月月更

直播系统源码——重视哪些功能的开发?

开源直播系统源码

软件开发 直播系统源码 直播功能

极盾·析策,XDR的正确打开方式

极盾科技

网络安全 安全 数据安全 xdr

干货!XDR产品安全检测体系如何更好的落地?

极盾科技

网络安全 安全 信息安全 数据安全 xdr

什么是知识库,为什么需要它?

Geek_da0866

7 天找个 Go 工作,Gopher 要学的条件语句,循环语句 ,第3篇

梦想橡皮擦

Python 爬虫 8月月更

HUAWEI内网最新发布了一份452页网络协议手册,GitHb百万收藏

小柴说Java

Java 网络协议 java程序员 TCP/IP Java工程师

企业实践|基于软件研运一体化DevOps平台的应用解析

云智慧AIOps社区

DevOps 自动化 敏捷开发 研发管理 代码托管

点赞破百万!字节算法大佬亲撰30W字数据算法笔记:GitHub标星93K

小柴说Java

数据结构 算法 算法题 算法与数据结构 算法面试题

谁在构建超云?

Kent Yao

超云

对话张星亮,洞察本质,SaaS首先是一种商业模式

B Impact

软件测试100天上岸1-测试就是找茬游戏

和牛

测试 8月月更

基于DevCloud进行黑白棋实时对战游戏开发实践

科技怪咖

推荐 | 移动开发主流热更新技术

Speedoooo

小程序 APP开发 热更新

火热与争议并行,XDR路在何方?

极盾科技

网络安全 安全 信息安全 数据安全 xdr

让GitHub炸锅的深入理解MySQL实战手册,竟出自阿里云“藏经阁”

冉然学Java

Java MySQL 高可用 阿里 构架

容器化 | 一文搞定镜像构建方式选型

RadonDB

MySQL Docker Kubernetes 镜像 RadonDB

Alibaba最新发布的Spring Boot项目实战文档,Github标星78k

Java面试那些事儿

Java Java 面试 java程序员 Java工程师 spring-boot

洞见商业新机,云原生数据库GaussDB让企业决策更科学

华为云开发者联盟

数据库 后端 华为云

开源一夏 | 在STM32L051上使用RT-Thread (一、无线温湿度传感器 之 新建项目)

矜辰所致

开源 RT-Thread 8月月更 STM32L051

Linux C/C++后台开发高级架构师进阶指南-剑指腾讯T9

C++后台开发

后台开发 后端开发 linux开发 Linux服务器开发 C/C++开发

兆骑科创创新创业大赛,双创活动,赛事承办,三招三引

兆骑科创凤阁

兆骑科创国内外创新创业服务平台,创业大赛,企业落地孵化

兆骑科创凤阁

微信官方kbone,Web端同构的福音

Geek_99967b

小程序

现代iOS应用安全_安全_Sergio De Simone_InfoQ精选文章