iOS应用的安全性 常常被大家忽视。1、首先,我们可以通过软件 下载 AppStore的ipa文件(苹果 把开发者上传的ipa进行了加壳再放到AppStore中),得到ipa文件 可以分析APP 里包含的一些资源,如:图片、plist文件、静态wap页、.bundle 等。所 ...
iOS应用的安全性 常常被大家忽视。
1、首先,我们可以通过软件 下载 AppStore的ipa文件(苹果 把开发者上传的ipa进行了加壳再放到AppStore中),
得到ipa文件 可以分析APP 里包含的一些资源,如:图片、plist文件、静态wap页、.bundle 等。
所以不要 在plist文件、项目中的静态文件中 存储关键的信息,如果要保存,记得加密(这样可以增加破解的难度)。
2、我们可以用软件 查看 APP的沙盒,查看里面存储的 文件(sqlite、plist(NSUserdefault也会存起来)、图片等),NSUserdefault 中不要保存关键信息,如果要保存,还是加密吧。。sqlite也是这样子的。
3、 用 工具 对加壳的ipa 进行脱壳(越狱手机 直接用PP助手下载的就是 脱壳的ipa),再用IDA、Hopper 进行反编译,进行分析 ,可以得到 近乎源代码的 伪代码。
所以 不要在 代码的常量 中保存关键信息,比如接口通信中 AES加密的密钥,可以通过接口获取 这些常量。
如果要保存密钥,记得加密,这样可以增加破解的难度。并且密钥要定期更换。
最好能 进行 代码混淆,能增加反编译的难度,当然只是增加了难度,还是能破解的。
4、用https也是可以被抓包并解析的,所以网络通信 一定要用自己的加密方式 进行加密。
接口返回的数据 最好也进行 加密。
可以这么说:无论 你怎么做,理论上都是可以破解的,但是 破解人员也要考虑成本。。
有的银行的APP,只用了https,通信都不加密,很容易就拿到明文数据了。有的APP里的各种数据都 采用复杂的加密算法,破解人员看到都烦,去破解这个APP的时间还不如去搞其他的几个APP。
一、ipa文件
1、AppStore里的ipa包 可以通过 iTunes 下载到电脑。iOS8.3以下系统的非越狱的手机上,可以用MAC上的PP助手等软件,直接把手机上的ipa文件(包含沙盒里的存储文件)拷贝到电脑。
如果是越狱手机,都可以用PP助手、itools直接把ipa导出到电脑,并且可以用PP助手、iExplorer、itools这些工具 查看 iOS的系统目录。
MAC上安装 iExplorer软件,用iExplorer 可以看到 手机(非越狱也可以) 在 iTunes上备份的内容。
如果你在帮测试美女的手机 调试问题的时候, 在 iTunes上设置 “连接次iPhone时自动同步”(或者点击 备份到本地电脑),默认该手机上的照片、短信等内容都会备份到你的电脑上,用 iExplorer 就可以看到 这位 美女的隐私。
曾经有次不小心看到同事的隐私信息,所以现在都比较注意这块,避免引发误会。
2、拿到ipa文件后,解压缩,得到.app文件,右键显示包内容,可以看到里面的app中的图片、js、plist、静态H5页 等资源。
比如 你要 用微信里的默认表情包,解压微信的ipa包就可以获取到。
3、iOS的系统目录和MAC上的都类似(类unix系统)。iOS系统的目录图:
二、沙盒 中的数据
iPhone上 计算器的沙盒:
.app文件:应用程序本身的数据,打包时候的一些资源文件(如:图片、plist等文件)、可执行文件。这个目录不会被iTunes同步。
Documents :存储不可再生 的关键数据。不会被iTunes同步
Library:保存配置文件和其他一些文件。NSUserDefault 会存储到 Library下的Preferences中 的 plist文件中。可以直接打开,所以 也不要在 NSUserDefault 中存一些 关键数据,或者 存储的时候 进行 AES等方式的加密。
Library/Caches可以用来保存可再生的数据,比如网络请求,用户需要负责删除对应文件。
这个目录(除了Library/Caches外)会被iTunes同步
tmp:临时文件。不需要的时候,手动将其内文件删除。(当应用不再运行的时候,系统可能会将此目录清空。)
海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理:https://www.xlkjsw.com
原标题:iOS 如何做才安全
关键词:IOS
*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们:
admin#shaoqun.com
(#换成@)。