ios - 测试iOS应用程序的安全性

Question

我正在开发一个应用程序。说，在最极端的情况下，对于最终用户而言，它应该是安全的，并且要达到生死攸关的程度。实际上，这并不难，但让我们假设一下。

因此，我想确定的是，如果严重的坏蛋得到了这款iPhone并进行了棘手的工作以将其拆解，越狱，无论如何从应用程序中获取数据，那么他们将获得尽可能少的线索。

我想以最安全的方式构建，测试应用程序及其环境。

问题是:

是否有Apple或其他来源的官方工具来测试
仅应用程序本身，但所有安全性内容？

我应该为担心坏人获得使用权而担心多少？
文件系统？如何防止数据泄露？

可靠性如何，例如后门是现有的加密库吗？

Answer 1

为了帮助测试iOS应用程序的安全性，建议您检查OWASP's Mobile Security Project。关于移动应用程序中的常见漏洞，有很多资源，还有关于the steps to test a mobile application的指南。

对于您的具体问题:

XCode具有内置的Analyze feature，可在您的应用程序的源代码中查找问题。这是静态分析的一种形式。有第三方工具可帮助进行动态分析，测试正在运行的应用程序。 OWASP ZAP和Burp Suite是此类工具的示例。

如果用户有一部越狱的手机，他们将希望可以访问整个文件系统。完全防止逆向工程也是不可能的。 This post from the Information Security community在这方面可能会有所帮助。但是，您可以限制存储在设备上的敏感信息。请注意日志文件，缓存文件，plist文件中存储的信息，基本上是设备上存储的所有信息。如果信息非常敏感，最好将其存储在服务器上而不是设备上，因为您是服务器的所有者，并且不能直接控制用户的设备。

我将同时查询Developer's Guide to Encrypting and Hashing Data和iOS Security Guide。我不了解特定的加密库，但总的来说，最常见的问题是加密库的实现不佳，而不是库本身的问题。此外，通常比使用创建自己的库更好的做法是使用现有库。

我还将咨询 Information Security Community，他们将提供有关如何安全测试iOS应用程序的更多指导。