ios - 第三方SDK集成前需要考虑哪些安全参数

Question

努力实现安全性对于任何项目都至关重要。目前正在寻求将第三方 SDK 集成到我的 iOS 应用程序中。然而，在此之前，我想彻底分析和审查 SDK。

一些检查点是-

• 粘贴板分析
• Apple 禁止使用私有(private) API，例如CTTelephonyNetworkInfo
• 数据库加密(如果有由 SDK 创建)

我在这里寻找的答案是我可以实现上述目标的方式以及我应该寻找的任何其他东西。

我知道这个问题听起来可能偏离主题或者更像是一个讨论，但事实证明像这样的 list 对所有开发人员来说都非常重要。

Answer 1

所以我能够检查一个简单的 list 。但是，我相信这个答案会很快过时。我仍然会分享我应该分享的内容。

• 粘贴板分析 - 这是为了检查 SDK 是否复制了任何内容公共(public)粘贴板。由于这是在所有应用程序之间共享的，因此可以导致脆弱性。
• 持久数据 - 将 SDK 添加到应用并检查它是否创建任何持久存储，如 .sqlite 文件。检查这个文件的内容了解正在存储的内容以及此信息是否以任何方式敏感。
• UserPreferences - NSUserPreferences 可以广泛用于任何SDK，这反而会导致数据被存储为简单的文本格式。
• 私有(private) API 使用 - SDK 可以借助 NSClassFromString 和 NSSelectorFromString 等方法使用私有(private) iOS API。 Apple 禁止使用此类 API，并可能导致审核被拒。

可以密切关注以下post .这将有助于了解如何进行类(class)转储。检查硬编码字符串。 Hopper Disassembler的特殊用法结果对我有帮助。