現在很多iOS的APP沒有做任何的安全防範措施,導致存在很多安全隱患和事故,今天我們來聊聊iOS開發人員平時怎麼做才更安全。
一、網路方面
用抓包工具可以抓取手機通訊介面的資料。以Charles為例,用Charles可以獲取http的所有明文資料,配置好它的證書後就可以模擬中間人攻擊,獲取https加密前的明文資料。
1.1 中間人攻擊
先簡要地說下什麼是中間人攻擊:
①客戶端:“我是客戶端,給我你的公鑰” -> 服務端(被中間人截獲)。
所以現在是:
客戶端->中間人
②然後中間人把訊息轉給服務端,也就是:
中間人->服務端
③服務端把帶有公鑰的資訊傳送給客戶端,但是被中間截獲。所以是:
服務端-[服務端的公鑰] ->中間人
④中間人把服務端的公鑰替換成自己的公鑰,傳送給客戶端,聲稱是服務端的公鑰:
中間人-[中間人的公鑰] ->客戶端
⑤客戶端用得到的公鑰加密,實際是用中間人的公鑰進行加密,所以中間人可以用自己的私鑰解密,獲取原始資料,然後再用服務端的公鑰對原始資料(或者修改原始資料內容)加密後傳送給服務端。
這樣中間人就可以獲取到雙方的通訊資料,並可以製造虛假資料。
1.2 如何防範中間人攻擊?
下面開始說如何防範:
1.2.1 SSL Pinning
SSL Pinning的原理就是把服務端的公鑰存到客戶端中,客戶端會校驗服務端返回的證書是否和客戶端儲存的一致,這樣就避免了中間人替換證書進行的攻擊。
SSL Pinning的實現比較簡單,只需要把CA證書放入專案中,通過Security framework實現NSURLSession上的SSL Pinning。如果用的是AFNetworking,程式碼更簡單一點:
這樣通過Charles抓包就會報錯。
證書驗證有可以只驗證公鑰(AFSSLPinningModePublicKey),也可以完全驗證證書(AFSSLPinningModeCertificate)。
但是用SSL Pinning有個很嚴重的問題,就是如果證書有問題,只有釋出新版本才能解決。如果新版本一直稽核不通過,app的網路通訊就全部掛掉了。
比如賽門鐵克(Symantec)證書被google和iOS12不信任的問題。如果app內建了證書,就必須要重新發版。
1.2.2 介面內容進行加密
很多的app介面只對請求的引數進行加密和各種驗證,而介面返回過來的資料就是明文。如果不用SSL Pinning來防止中間人攻擊,也可以把介面返回的資料也進行加密,這樣抓包工具抓到包後也依然不能破解。
比如微信,微信中的介面用的是http協議,但是內容全部進行了加密。
現在常用的是對稱加密,加密效率比較快。如果app裡有的資料特別重要,還是要用非對稱加密,非對稱加密更安全,但是效率會比較慢。
二、日誌
2.1 Swift日誌
Swift中列印日誌的語法可以用print,也可以用NSLog。但是儘量別用NSLog,因為Swift中用NSLog,系統日誌中是能查到的。可以通過pp助手、iTools或者Xcode的Devices and Simulators 來檢視系統日誌。
用print列印日誌就不會出現在系統日誌中。
2.2 OC日誌
在release環境下不要輸出NSLog日誌。一般大家都會用巨集定義解決,如下:
三、資訊的儲存
3.1 金鑰
大部分的程式設計師喜歡直接把金鑰放到巨集或者常量裡。
如:#define AES_KEY @“aaa123"
這樣做很容易就可以被反編譯出來。安全性比較差。可以用以下方法加強安全,增加破解的難度。
對金鑰(A)進行加密後定義為巨集(B),使用的時候進行解密得到金鑰(A)。其中對金鑰A加密的金鑰為C。
因為在巨集定義的時候我們如果定義成字串,會直接存在data段,這樣破解者很容易獲取到。比較安全的做法是把C和B定義成uint8_t[]陣列,這樣每個字元就會放到text段的每個單獨指令中。指令執行後生成字串。這樣就會很安全。
用一段長文字,按規則提取出裡面的金鑰,金鑰是隨機的。
在服務端和客戶端定義一段長文字,app端隨機生成起始位置和長度,把起始位置和長度進行移位等操作,生成相應的數字,對數字進行Base64編碼,生成的字串 傳給服務端,服務端根據這個字串 就能 解析出相關的金鑰。
程式碼如下:
這樣只是增加了破解者獲取金鑰的難度,其實並不能完全阻止破解者獲取。
3.2 Keychain
越獄的iPhone可以檢視匯出Keychain儲存的資訊。Keychains的內容存放在sqlite中,目錄為:/private/var/Keychains。可以通過keychain-dump可以檢視鑰匙串裡存放的的內容。
所以儲存到Keychain的資料一定要是加密之後的資料。
3.3 plist、sqlite
plist、sqlite可以直接在ipa安裝檔案中獲取到,所以不要在這些檔案中存放重要資訊,如果要儲存,就進行加密後再存放。
四、app加固
4.1 程式碼混淆
程式碼混淆就是把易讀的類名、方法名替換成不易讀的名字。常用的方法有巨集替換和指令碼替換。
比如本來方法名為:- (void)loadNetData; 進行程式碼混淆後,用class-dump匯出標頭檔案後會顯示成修改後的方法名:- (void)showxhevaluatess;
4.2 用C語言
核心程式碼用C語言寫,但是C語言的函式也可以被hook,比如用fishhook。開發人員可以用靜態行內函數來防止hock,破解者就只能去理解程式碼的邏輯。
4.3 檢測tweak
可以檢測 /Library/MobileSubstrate/DynamicLibraries 下的 plist 檔案裡是否包含自己app的bundle id。如果包含,可以進行限制app的功能、提示該手機不安全 等。
作者:何繼昌
來源:宜信技術學院