文章分A,B,C,D 4個(gè)部分。

A) iOS Application Security

?

下面介紹iOS應(yīng)用安全，如何分析和動(dòng)態(tài)修改app。?
1）iOS Application security Part 1 – Setting up a mobile pentesting platform?Part1介紹如何在越獄的設(shè)備上搭建用來測試iOS安全的環(huán)境。

2）iOS Application security Part 2 – Getting class information of IOS apps?Part2介紹如何利用class-dump-z 和 Clutch 來dump類信息，利用這些信息，可以理解代碼的設(shè)計(jì)和代碼內(nèi)部是如何工作的。
有沒有可能我們?nèi)?dòng)態(tài)修改app呢？
例如有一個(gè)方法 -(BOOL)isFacebookSessionValid ，在某種情況下返回 NO，有沒有方法操縱它讓它返回YES呢？
可不可以在運(yùn)行時(shí)修改 instance variable變量的值呢？
答案是：YES。

3)?iOS Application security Part 3 – Understanding the Objective-C Runtime?Part3提到Method Swizzling.我之前有篇blog有過介紹，參見：Monkey Patching iOS with Swizzling

4)?iOS Application Security Part 4 – Runtime Analysis Using Cycript (Yahoo Weather App)

Part4介紹了用Cycript動(dòng)態(tài)分析和修改app的方法。文章拿Yahoo Weather app做的例子。其中一處改動(dòng)是給加上了badge number。

5）IOS Application security Part 5 – Advanced Runtime analysis and manipulation using Cycript (Yahoo Weather App)

Part5 分享了一些高級(jí)分析技術(shù)。分析了如何獲得特定類的信息（方法名，實(shí)例變量名稱），并且如何在運(yùn)行時(shí)修改。

6）IOS Application Security Part 6 – New Security Features in IOS 7

7）IOS Application Security Part 7 – Installing and Running Custom Applications on Device without a registered developer account

B）關(guān)鍵數(shù)據(jù)的保存。

在本地保存的數(shù)據(jù)，一般來說，要么:
1）存本地db。?
2）存plist文件。 ([NSUserDefaults standardUserDefaults] 也是一個(gè)plist文件)
3）存入keychain。

如果直接保存明文，即使在keychain中，也不安全。 之前我寫過一篇blog，keychain is not safe，里面提到了某微博，其實(shí)就是新浪微博客戶端，把用戶密碼存在keychain中，在一定條件下，也是可以提取出來的。

(下面圖中password所在位置就是我新浪微博的密碼，為了演示，這里做了修改）

所以，關(guān)鍵數(shù)據(jù)是需要加密的。Encrytion is a must for sensitive data.

?

C）通信的安全。

一般來說，http請(qǐng)求都應(yīng)該要做到能夠防篡改、防重放攻擊（replay attack）等等，如果安全要求更高，還要用https， 在客戶端用https，也要注意對(duì)源的校驗(yàn)。（通過SSL Pining提供iOS SSL通信的安全）。

比如一些涉及到關(guān)鍵業(yè)務(wù)的東西，不能夠直接給個(gè)URL，任何人都能從PC上就下載，一定要做身份校驗(yàn)，甚至要有time out值（URL里面有時(shí)間戳）。

比如最近大家看到的關(guān)于支付寶插件的分析相關(guān)文章(參見：分析支付寶客戶端的插件機(jī)制，淺析支付寶錢包插件，再談支付寶錢包插件和說好的 Demo)，如果是你來設(shè)計(jì)，請(qǐng)問會(huì)從哪些方面來加強(qiáng)安全呢。

我想到這些：
1）插件內(nèi)容加密。
這里做到加密關(guān)鍵部分即可。在加載插件對(duì)應(yīng)功能的時(shí)候，把對(duì)應(yīng)功能解密到內(nèi)存中，文件系統(tǒng)中還是保持加密狀態(tài)。

2)?下載插件的URL做身份驗(yàn)證。

3)?插件里面的JS做混淆。

4）關(guān)鍵邏輯和代碼，放在native實(shí)現(xiàn)。

5）加入冗余代碼，讓代碼不易被看懂。

?

D）安全 VS 成本

對(duì)于個(gè)人用戶來說，盡量不要越獄，不使用免費(fèi)WIFI登陸敏感網(wǎng)站。（很多免費(fèi)WIFI傳輸都不加密，加密的密碼很可能也是123456這種，很容易被hack；或者這個(gè)WIFI，本身就是別有企圖的人提供的）。

對(duì)企業(yè)來說，就既要考慮通信的安全，也要考慮客戶端的安全等等。直接把用戶的密碼存在本地，安全上是有風(fēng)險(xiǎn)。

安全是相對(duì)的，A）中分享的文章可以看到，即使把關(guān)鍵邏輯放在iOS native code中去實(shí)現(xiàn)，也是可能被hack，被破解的。但是，這個(gè)需要的技巧和能力就會(huì)要求更高。

你的業(yè)務(wù)是什么，你打算以多大的成本來提高安全性，業(yè)務(wù)越critical，要求越高。

對(duì)于和錢打交道的app，至少，你需要提高門檻。

You should raise the bar.

---------這是分割線----------

?

轉(zhuǎn)載自:http://wufawei.com/2013/07/iOS-application-security/

?

轉(zhuǎn)載于:https://www.cnblogs.com/yingkong1987/p/3185490.html

總結(jié)

以上是生活随笔為你收集整理的iOS Application Security的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。