這篇文章之前自己在公司的技術分享學院發表了。現在發到自己的部落格上。
一、網路方面
用抓包工具可以抓取手機通訊介面的資料。以charles為例,用charles可以獲取http的所有明文資料,配置好它的證書後就可以模擬中間人攻擊,獲取https加密前的明文資料。
先簡要的說下什麼是中間人攻擊:
①客戶端:「我是客戶端,給我你的公鑰」-> 服務端(被中間人截獲)。
所以現在是:
客戶端->中間人,
②然後中間人把訊息轉給服務端,也就是:
中間人->服務端。
③服務端把帶有公鑰的資訊傳送給客戶端,但是被中間截獲。所以是:
服務端-[服務端的公鑰] ->中間人。
④中間人把服務端的公鑰替換成自己的公鑰,傳送給客戶端,聲稱是服務端的公鑰:
中間人-[中間人的公鑰] ->客戶端
⑤客戶端用得到的公鑰加密,實際是用的中間人的公鑰進行的加密,所以中間人可以用自己的私鑰解密,獲取原始資料,然後再用服務端的公鑰對原始資料(或者修改原始資料內容)加密後傳送給服務端。
這樣中間人就可以獲取到雙方的通訊資料,並可以製造虛假資料。
下面開始說如何防範:
1、ssl pinning
ssl pinning的原理就是把服務端的公鑰存到客戶端中,客戶端會校驗服務端返回的證書是否和客戶端儲存的一致,這樣就避免了中間人替換證書進行的攻擊。
ssl pinning的實現比較簡單,只需要把ca證書放入專案中,通過security framework實現nsurlsession上的ssl pinning。如果用的是afnetworking,**更簡單一點:
這樣通過charles抓包就會報錯。
證書驗證有可以只驗證公鑰(afsslpinningmodepublickey),也可以完全驗證證書(afsslpinningmodecertificate)。
2、介面內容進行加密
二、日誌
1、swift日誌
swift中列印日誌的語法可以用print,也可以用nslog。但是盡量別用nslog,因為swift中用nslog,系統日誌中是能查到的。可以通過pp助手、itools或者xcode的devices and simulators 來檢視系統日誌。
用print列印日誌就不會出現在系統日誌中。
2、oc日誌
三、資訊的儲存
1、金鑰
大部分的程式設計師喜歡直接把金鑰放到巨集或者常量裡。
如:#define aes_key @「aaa123"
這樣做很容易就可以被反編譯出來。安全性比較差。可以用以下方法加強安全,增加破解的難度。
1.1、對金鑰(a)進行加密後定義為巨集(b),使用的時候進行解密得到金鑰(a)。其中對金鑰a加密的金鑰為c。
因為在巨集定義的時候我們如果定義成字串,會直接存在data段,這樣破解者很容易獲取到。比較安全的做法是把c和b定義成uint8_t陣列,這樣每個字元就會放到text段的每個單獨指令中。指令執行後生成字串。這樣就會很安全。
1.2、用一段長文字,按規則提取出裡面的金鑰,金鑰是隨機的。
**如下:
這樣只是增加了破解者獲取金鑰的難度,其實並不能完全阻止破解者獲取。
2、keychain
越獄的iphone可以檢視匯出keychain儲存的資訊。keychains的內容存放在sqlite中,目錄為:/private/var/keychains。可以通過keychain-dump可以檢視鑰匙串裡存放的的內容。
所以儲存到keychain的資料一定要是加密之後的資料。
3、plist、sqlite
plist、sqlite可以直接在ipa安裝檔案中獲取到,所以不要在這些檔案中存放重要資訊,如果要儲存,就進行加密後再存放。
1、**混淆
**混淆就是把易讀的類名、方法名替換成不易讀的名字。常用的方法有巨集替換和指令碼替換。
比如本來方法名為:- (void)loadnetdata; 進行**混淆後,用class-dump匯出標頭檔案後會顯示成修改後的方法名:- (void)showxhevaluatess;
2、用c語言
核心**用c語言寫,但是c語言的函式也可以被hook,比如用fishhook。開發人員可以用靜態內聯函式來防止hock,破解者就只能去理解**的邏輯。
3、檢測tweak
ios網路開發篇 資料安全
一 簡單說明 1.說明 在開發應用的時候,資料的安全性至關重要,而僅僅用post請求提交使用者的隱私資料,還是不能完全解決安全問題。如 可以利用軟體 比如charles 設定 伺服器,攔截檢視手機的請求資料 青花瓷 軟體 因此 提交使用者的隱私資料時,一定不要明文提交,要加密處理後再提交 2.常見的...
iOS開發多執行緒 執行緒安全
資源共享 1塊資源可能會被多個執行緒共享,也就是多個執行緒可能會訪問同一塊資源 比如多個執行緒訪問同乙個物件 同乙個變數 同乙個檔案 當多個執行緒訪問同一塊資源時,很容易引發資料錯亂和資料安全問題 示例一 示例二 問題 import viewcontroller.h inte ce viewcont...
iOS開發網路 資料安全
ios開發網路篇 資料安全 一 簡單說明 1.說明 在開發應用的時候,資料的安全性至關重要,而僅僅用post請求提交使用者的隱私資料,還是不能完全解決安全問題。如 可以利用軟體 比如charles 設定 伺服器,攔截檢視手機的請求資料 青花瓷 軟體 因此 提交使用者的隱私資料時,一定不要明文提交,要...