当前位置:主页 > 知识百科 > 生活百科 > 正文

ios app如何做才安全

发布时间:2021-11-17 23:53 来源:互联网 点击:0
APPLE的iOS是封闭的,每个app有着沙盒路径,发布途径也只有唯一的APPStore, 但是,危险遍布于开发的各个阶段,同时对安全的重视程度也间接提现了一个开发者的能力和意识。那么,ios app如何做才安全呢?小编总结了以下几点。1、ipa包加壳首先,我们可以通过iTunes 下载 AppStore的ipa文件(苹果 把开发者上传的i

ios app如何做才安全

APPLE的iOS是封闭的,每个app有着沙盒路径,发布途径也只有唯一的APPStore, 但是,危险遍布于开发的各个阶段,同时对安全的重视程度也间接提现了一个开发者的能力和意识。那么,ios app如何做才安全呢?小编总结了以下几点。

1、ipa包加壳

首先,我们可以通过iTunes 下载 AppStore的ipa文件(苹果 把开发者上传的ipa包进行了加壳再放到AppStore中),所以我们从AppStore下载的ipa都是加壳的,所以不能直接用来反编译。

得到ipa文件可以分析APP 里包含的一些资源,如:图片、plist文件、静态wap页、.bundle 等。

所以不要 在plist文件、项目中的静态文件中 存储关键的信息,如果要保存,记得 对称加密(这样可以增加破解的难度)。

如果是越狱的手机,从手机上的PP助手下载的ipa包 都是脱壳之后的,可以直接用来反编译。

2、敏感信息存储位置

我们可以用软件 查看 APP的沙盒,查看里面存储的 文件:sqlite、plist(NSUserdefault会存到Library下的Preferences中 的 plist文件中)、图片等,NSUserdefault 中不要保存关键信息,如果要保存,还是加密吧。。sqlite也是这样子的。

iOS 8.3之前 不越狱的手机也可以 直接用MAC上的PP助手、iTool 来查看 任何APP的沙盒(系统APP除外)。iOS 8.3之后就不行了。

越狱手机都可以查看任意APP的沙盒,包括系统APP的沙盒。还有iOS的系统目录等。

3、设备安全(越狱,丢失)

越狱手机直接用PP助手下载的就是 脱壳的ipa,所以不用再脱了。对AppStore下载的ipa包 可以用工具对加壳的ipa 进行脱壳,再用IDA、Hopper 进行反编译,进行分析 ,可以得到 近乎易懂的 伪代码。但是反编译后的代码 要 一个方法一个方法的去分析,类似面向过程编程。。当然也有工具 去提取 项目中的所有.h文件。不过 反编译 终归是个 耐心的活,急躁的人容易砸电脑。

4、APP反编译(逆向工程)

所有的APP都是可以反编译的,所以 很关键的数据 最好通过接口获取。

那么接口如何保证安全呢。首先用HTTPS,虽然HTTPS已经很安全了,但是数据也是有可能被破解的,这个后面会介绍。。所以 接口一定要自己加密。

非对称加密(RSA)现在 还是没有办法破解的,但是因为 非对称加密的效率低,所以很少有企业将所有的接口都用非对称加密。

接口如果用对称加密,密钥 放到代码里 是能被反编译出来的。如果你的 APP的安全性很高,就不要把密钥 写到代码里。

可以这样处理:

先通过非对称加密的接口 获取密钥,然后 再在 后面的 接口通信中 用这个密钥进行加密。这样做 就类似 HTTPS 的简化版实现了。安全性很高。目前应该 是不能破解的。

5、代码内容加密(对称加密/非对称加密)

根据APP的安全性,也可以把 关键数据 写在代码里,可以保存的是加密后的数据。比如,我给一个变量赋值:U2FsdGVkX1 rN sgpLmOYTqoVhRRerZj9oobZAIPzjo=,你不知道 我这个字符串解密后是 123456,我只是使用的时候才解密处理用。

这样也只是增加了黑客获取关键数据的难度。

6、安全密钥更新周期

密钥要定期更换。比如 3个月或半年换一次,如果密钥是从接口通过非对称加密获取的,直接修改服务端就可以了。

如果密钥是写在代码里的。就等APP升级新的版本的时候,新版本的APP和其对应的接口版本 都 修改为新的密钥 就可以了。

旧的接口版本和APP版本还用以前的密钥,等强制更新的时候才会失效。

如果一个APP 一个密钥用上几年都不变 ,是很危险的。离职的人员都可以直接用以前 的代码 来获取相关的数据。特别是 支付相关的,有的服务端甚至没有 去校验支付的金额或其他数据,导致 离职人员用1分钱 可以买到 任何价格的 线上产品(服务端这种在线上环境留后门的安全性问题,我是真的遇到有人这么搞)。。

7、代码混淆

最好能 进行 代码混淆,能增加反编译的难度,当然只是增加了难度,还是能破解的。但是 代码混淆 的 性价比是很高的,就是你这边付出了 一点时间,而黑客 就要多付出几十倍 的时间。。其实 接口 自己加密 的性价比也很高。

8、接口安全(双向加密)

接口返回的数据 最好也进行 加密。比如,现在大家都连我的热点,或者代理服务器,我是有可能 直接 获取你的APP的 HTTPS 解密后的json数据(如何获取相见《逆向工程》)。当然,如果你觉得 你的APP返回的json数据都是 不重要的,也可以不对数据进行加密。

像微信、QQ、支付宝这种 安全性高的,通信两边的数据 收发 都 应该 进行加密的。

9、通讯安全,第三方库漏洞

像HTTPS本身 是否有漏洞这种我们就不去说了。就 去年iOS的AFNetworking 漏洞事件,完全是 代码的问题。虽然不是HTTPS的安全机制的问题。但是 黑客还是能很容易拿到HTTPS解密后的数据。

去年iOS的AFNetworking曝SSL漏洞 就涉及2.5万个APP。 有的银行的APP,只用了HTTPS,通信都不加密,就很容易拿到明文数据了。有的APP里的各种数据都 采用复杂的加密算法,破解人员看到都烦,去破解这个APP的时间还不如去搞其他的几个APP。

HTTPS 本身是安全的。但是数据还是可能被破解。所以 不要觉得 我只用HTTPS 就安全了。理论上 说任何 的 协议、代码都是可能有漏洞的,只是有的现在 还没被发现或破解,并不代表一直不能被破解。。

10、敏感信息安全加密

黑客不会 去一个手机一个手机的 把沙盒数据 拿出来 来看每个用户的数据(黑客也不可能拿到你的手机)。但是如果黑客捡到 你的手机 ,都不用登陆微信 就可以 通过微信APP的沙盒 拿到你和小三的偷情聊天记录、能拿到你的银行卡号,你的手机号(很多APP都把手机号、银行卡号、聊天记录 明文保存在沙盒里)。。你是不是会觉得微信 怎么这么low。我们只是拿微信举个例子,微信还不会这么low。

11、通讯网络安全

黑客最主要的还是通过网络来获取 他们想要的数据(网络的安全级别是最高的)。如果恰好 你的APP 加密密钥 明文 保存到了沙盒里 或者 你的 数据通信 还没有进行加密,恭喜你,你的数据和裸奔没啥区别。。

有人说:“我就做了个聊天的APP,没啥机密信息。再说 大家连的都是 公司的wifi、4G网络,不会有问题的,所以我的通信才不加密,麻烦。”

举个搞笑的栗子:

你现在在飞机场,连着免费wifi,正在和副总裁在微信里 谈着 价值100个亿的创意的时候,聊天记录已经被 黑客 抓包获取 ,然后卖给竞争对手了。。(只是举个例子,微信的加密是相当安全的,微信很多的通讯还是用的HTTP,但是就算你拿到他们数据,也是无法解密的。这里举例用微信,只是为了方便大家理解。免费wifi确实有可能是黑客设的坑,新闻上经常报道)。所以不要让自己的数据裸奔。。。

12、代码调试信息安全管理

代码方面:

1、在release环境下 NSLog不要打印日志 否则iOS系统日志里都可以查看到,在.pch文件中加下面的几行代码就可以解决。很早大家都这么做了。

现在很多APP的部分页面开始使用 Swift,在Swift 文件中是允许用 NSLog 的语法来打印,但是 不要这么做,因为 这样 就会导致这段代码在 release环境 中也可以正常输出。通过 PP助手、iTools,可以直接 查看 iOS的系统日志。也可以直接 通过Xcode-Window-Devices - 点最下面的向上的小箭头,来看日志。

所以Swift中打印 还是用 print吧。

2、AFNetworking 的 allowInvalidCertificates 属性 要设置成false,validatesDomainName属性 设置成true。否则 HTTPS通信就可以被解密。这块涉及到AFnetworking 去年的通信漏洞 就不详述了。

但是一般开发的测试环境的HTTPS 不是CA颁发的,而是自签名证书,访问的也不是域名,而是IP。所以可以在测试环境 忽略证书和域名。

以上内容希望对您有所帮助,想要学习通讯安全小知识的朋友,接下来我们会讲解手机下载网络资源需注意哪些危险隐患,欢迎关注漂亮女人街


"小编整理不易,小礼物走一走,万分感谢!"
赞赏
漂亮女人街

真诚赞赏,手留余香

相关资讯

2型呼吸衰竭的常见病因
大家都知道呼吸衰竭是各种原因引起的肺通气和(或)换气功能严重障碍,以致不能进行有效的气体交换,导致缺氧伴(或不伴)二氧化碳潴留,从而引起一系列生理功能和代谢紊乱的临床综合征。那么大家知道2型呼吸衰竭的常见
冬至表示一年结束了吗
冬至是一年之中比较受欢迎的一个节气,也是生活中比较重要的一个节气,这个时候一般都是在十二月底,它表示这一年已经进入尾声了,但是并不表示这是一年的开始或结束,按照传统来讲,春节才是一年的开始。冬至是一年
男人和女人到底谁更在乎第一次呢
在性如此开放的现代,是不是处女情结、处男情结就已经完全不存在了呢?这种想法诚然是错误的。无论性如何的开放,男人依然存在着处女情结。而女人,对于处男也更加看重。那么,男人和女人到底谁更在乎第一次呢?下面
驾驶手动挡汽车该注意什么
现在车对我们来说并不陌生,他是我们用的交通工具。所以我们必须要了解安全驾驶知识,这样才能避免意外发生。下面我们就一起来学习一下手动挡汽车驾驶技巧与驾驶手动挡汽车该注意什么?很多人在刚刚开手动挡的车的时
2022年会出现粮食危机吗
粮食是关系到人们温饱的,是比较重要的一个物资,对一个国家的稳定有着不可取代的作用。如果一个国家的粮食出现紧缺,国家人民就不能解决最基本的温饱问题,会容易出大问题的。我国是一个粮食生产大国,可以自给自足
网络病毒查杀软件有哪些
Internet是一个开放的、无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。那么,网络病毒查杀软件有哪些呢?就让漂亮女人街的小编和你一起去了解一下吧!网络病毒查杀软件:1、360杀毒软件360杀毒轻巧快速、查