文章分A,B,C,D 4個部分。

A) iOS Application Security

?

下面介紹iOS應(yīng)用安全，如何分析和動態(tài)修改app。?
1）iOS Application security Part 1 – Setting up a mobile pentesting platform?Part1介紹如何在越獄的設(shè)備上搭建用來測試iOS安全的環(huán)境。

2）iOS Application security Part 2 – Getting class information of IOS apps?Part2介紹如何利用class-dump-z 和 Clutch 來dump類信息，利用這些信息，可以理解代碼的設(shè)計和代碼內(nèi)部是如何工作的。
有沒有可能我們?nèi)討B(tài)修改app呢？
例如有一個方法 -(BOOL)isFacebookSessionValid ，在某種情況下返回 NO，有沒有方法操縱它讓它返回YES呢？
可不可以在運行時修改 instance variable變量的值呢？
答案是：YES。

3)?iOS Application security Part 3 – Understanding the Objective-C Runtime?Part3提到Method Swizzling.我之前有篇blog有過介紹，參見：Monkey Patching iOS with Swizzling

4)?iOS Application Security Part 4 – Runtime Analysis Using Cycript (Yahoo Weather App)

Part4介紹了用Cycript動態(tài)分析和修改app的方法。文章拿Yahoo Weather app做的例子。其中一處改動是給加上了badge number。

5）IOS Application security Part 5 – Advanced Runtime analysis and manipulation using Cycript (Yahoo Weather App)

Part5 分享了一些高級分析技術(shù)。分析了如何獲得特定類的信息（方法名，實例變量名稱），并且如何在運行時修改。

6）IOS Application Security Part 6 – New Security Features in IOS 7

7）IOS Application Security Part 7 – Installing and Running Custom Applications on Device without a registered developer account

B）關(guān)鍵數(shù)據(jù)的保存。

在本地保存的數(shù)據(jù)，一般來說，要么:
1）存本地db。?
2）存plist文件。 ([NSUserDefaults standardUserDefaults] 也是一個plist文件)
3）存入keychain。

如果直接保存明文，即使在keychain中，也不安全。 之前我寫過一篇blog，keychain is not safe，里面提到了某微博，其實就是新浪微博客戶端，把用戶密碼存在keychain中，在一定條件下，也是可以提取出來的。

(下面圖中password所在位置就是我新浪微博的密碼，為了演示，這里做了修改）

所以，關(guān)鍵數(shù)據(jù)是需要加密的。Encrytion is a must for sensitive data.

?

C）通信的安全。

一般來說，http請求都應(yīng)該要做到能夠防篡改、防重放攻擊（replay attack）等等，如果安全要求更高，還要用https， 在客戶端用https，也要注意對源的校驗。（通過SSL Pining提供iOS SSL通信的安全）。

比如一些涉及到關(guān)鍵業(yè)務(wù)的東西，不能夠直接給個URL，任何人都能從PC上就下載，一定要做身份校驗，甚至要有time out值（URL里面有時間戳）。

比如最近大家看到的關(guān)于支付寶插件的分析相關(guān)文章(參見：分析支付寶客戶端的插件機制，淺析支付寶錢包插件，再談支付寶錢包插件和說好的 Demo)，如果是你來設(shè)計，請問會從哪些方面來加強安全呢。

我想到這些：
1）插件內(nèi)容加密。
這里做到加密關(guān)鍵部分即可。在加載插件對應(yīng)功能的時候，把對應(yīng)功能解密到內(nèi)存中，文件系統(tǒng)中還是保持加密狀態(tài)。

2)?下載插件的URL做身份驗證。

3)?插件里面的JS做混淆。

4）關(guān)鍵邏輯和代碼，放在native實現(xiàn)。

5）加入冗余代碼，讓代碼不易被看懂。

?

D）安全 VS 成本

對于個人用戶來說，盡量不要越獄，不使用免費WIFI登陸敏感網(wǎng)站。（很多免費WIFI傳輸都不加密，加密的密碼很可能也是123456這種，很容易被hack；或者這個WIFI，本身就是別有企圖的人提供的）。

對企業(yè)來說，就既要考慮通信的安全，也要考慮客戶端的安全等等。直接把用戶的密碼存在本地，安全上是有風險。

安全是相對的，A）中分享的文章可以看到，即使把關(guān)鍵邏輯放在iOS native code中去實現(xiàn)，也是可能被hack，被破解的。但是，這個需要的技巧和能力就會要求更高。

你的業(yè)務(wù)是什么，你打算以多大的成本來提高安全性，業(yè)務(wù)越critical，要求越高。

對于和錢打交道的app，至少，你需要提高門檻。

You should raise the bar.

---------這是分割線----------

?

轉(zhuǎn)載自:http://wufawei.com/2013/07/iOS-application-security/

?

轉(zhuǎn)載于:https://www.cnblogs.com/yingkong1987/p/3185490.html

總結(jié)

以上是生活随笔為你收集整理的iOS Application Security的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。