現在很多iOS的APP沒有做任何的安全防范措施����,導致存在很多安全隱患和事故,今天我們來聊聊iOS開發人員平時怎么做才更安全��。
一�、網絡方面
用抓包工具可以抓取手機通信接口的數據。以Charles為例���,用Charles可以獲取http的所有明文數據,配置好它的證書后就可以模擬中間人攻擊�����,獲取https加密前的明文數據����。
1.1 中間人攻擊
先簡要地說下什么是中間人攻擊:
①客戶端:“我是客戶端����,給我你的公鑰” -> 服務端(被中間人截獲)���。
所以現在是:
客戶端->中間人
②然后中間人把消息轉給服務端��,也就是:
中間人->服務端
③服務端把帶有公鑰的信息發送給客戶端,但是被中間截獲�。所以是:
服務端-[服務端的公鑰] ->中間人
④中間人把服務端的公鑰替換成自己的公鑰���,發送給客戶端�,聲稱是服務端的公鑰:
中間人-[中間人的公鑰] ->客戶端
⑤客戶端用得到的公鑰加密�����,實際是用中間人的公鑰進行加密,所以中間人可以用自己的私鑰解密��,獲取原始數據���,然后再用服務端的公鑰對原始數據(或者修改原始數據內容)加密后發送給服務端�。
這樣中間人就可以獲取到雙方的通信數據�����,并可以制造虛假數據。
1.2 如何防范中間人攻擊����?
下面開始說如何防范:
1.2.1 SSL Pinning
SSL Pinning的原理就是把服務端的公鑰存到客戶端中,客戶端會校驗服務端返回的證書是否和客戶端保存的一致�����,這樣就避免了中間人替換證書進行的攻擊�����。
SSL Pinning的實現比較簡單�����,只需要把CA證書放入項目中,通過Security framework實現NSURLSession上的SSL Pinning��。如果用的是AFNetworking���,代碼更簡單一點:
這樣通過Charles抓包就會報錯�����。
證書驗證有可以只驗證公鑰(AFSSLPinningModePublicKey)���,也可以完全驗證證書(AFSSLPinningModeCertificate)。
但是用SSL Pinning有個很嚴重的問題�����,就是如果證書有問題,只有發布新版本才能解決�����。如果新版本一直審核不通過��,app的網絡通信就全部掛掉了。
比如賽門鐵克(Symantec)證書被google和iOS12不信任的問題��。如果app內置了證書,就必須要重新發版���。
1.2.2 接口內容進行加密
很多的app接口只對請求的參數進行加密和各種驗證,而接口返回過來的數據就是明文�����。如果不用SSL Pinning來防止中間人攻擊�����,也可以把接口返回的數據也進行加密����,這樣抓包工具抓到包后也依然不能破解���。
比如微信,微信中的接口用的是http協議����,但是內容全部進行了加密。
現在常用的是對稱加密�,加密效率比較快���。如果app里有的數據特別重要,還是要用非對稱加密�,非對稱加密更安全�,但是效率會比較慢����。
二、日志 2.1 Swift日志
Swift中打印日志的語法可以用print�,也可以用NSLog。但是盡量別用NSLog�����,因為Swift中用NSLog����,系統日志中是能查到的?��?梢酝ㄟ^pp助手�、iTools或者Xcode的Devices and Simulators 來查看系統日志�����。
用print打印日志就不會出現在系統日志中。
2.2 OC日志
在release環境下不要輸出NSLog日志����。一般大家都會用宏定義解決,如下:
三�����、信息的存儲 3.1 密鑰
大部分的程序員喜歡直接把密鑰放到宏或者常量里����。
如:#define AES_KEY @“aaa123"
這樣做很容易就可以被反編譯出來。安全性比較差����。可以用以下方法加強安全��,增加破解的難度��。
對密鑰(A)進行加密后定義為宏(B)�����,使用的時候進行解密得到密鑰(A)。其中對密鑰A加密的密鑰為C���。
因為在宏定義的時候我們如果定義成字符串,會直接存在data段��,這樣破解者很容易獲取到�。比較安全的做法是把C和B定義成uint8_t[]數組,這樣每個字符就會放到text段的每個單獨指令中�。指令執行后生成字符串。這樣就會很安全�。
用一段長文本,按規則提取出里面的密鑰����,密鑰是隨機的。
在服務端和客戶端定義一段長文本�,app端隨機生成起始位置和長度,把起始位置和長度進行移位等操作�����,生成相應的數字��,對數字進行Base64編碼�,生成的字符串 傳給服務端����,服務端根據這個字符串 就能 解析出相關的密鑰�。
代碼如下:
這樣只是增加了破解者獲取密鑰的難度,其實并不能完全阻止破解者獲取����。
3.2 Keychain
越獄的iPhone可以查看導出Keychain保存的信息。Keychains的內容存放在sqlite中���,目錄為:/private/var/Keychains�??梢酝ㄟ^keychain-dump可以查看鑰匙串里存放的的內容。
所以保存到Keychain的數據一定要是加密之后的數據����。
3.3 plist、sqlite
plist����、sqlite可以直接在ipa安裝文件中獲取到,所以不要在這些文件中存放重要信息���,如果要保存�,就進行加密后再存放。
四��、app加固 4.1 代碼混淆
代碼混淆就是把易讀的類名�、方法名替換成不易讀的名字。常用的方法有宏替換和腳本替換�。
比如本來方法名為:- (void)loadNetData; 進行代碼混淆后�,用class-dump導出頭文件后會顯示成修改后的方法名:- (void)showxhevaluatess;
4.2 用C語言
核心代碼用C語言寫,但是C語言的函數也可以被hook����,比如用fishhook。開發人員可以用靜態內聯函數來防止hock�,破解者就只能去理解代碼的邏輯。
4.3 檢測tweak
可以檢測 /Library/MobileSubstrate/DynamicLibraries 下的 plist 文件里是否包含自己app的bundle id���。如果包含����,可以進行限制app的功能����、提示該手機不安全 等。
