转载

iOS业界安全领域问题收集

iOS业界安全领域问题。以下内容是收集于网络的关于iOS App主要涉及到的安全系列问题。

由于公司需求，需要做应用安全防护工作，但是都没有经验，所以只能提前做好调研工作，收集统一一下业界内的应用通常都是从哪些方面来处理安全性问题的。

iOS业界安全领域问题收集

网络安全

1、数据传输安全性问题：与用户隐私相关的数据传输涉及到安全性问题。hacker可以通过抓包就可以看到相关用户的数据，因此需要做好加密处理，防止易破解。

2、防止通信协议被破解：一旦通信协议被破解，黑客很容易就可以模拟客户端登录，进行一系列行为，而此时都是合法行为了。因此，需要做好防止数据被篡改和防止通信协议被破解。

本地安全

1、程序文件的安全性：如果有native与js文件交互源代码，若关系到安全性，要注意文件代码的加密，防止他人反汇编后可以看到文件的内容

2、本地数据存储安全性：对于本地的重要数据，我们应该加密存储或将其保存到keychain中，以保证其不被篡改。对于一些较为重要的数据存储在本地时，比如数据库、文件，都应该加密处理。

3、越狱手机可以使用Keychain-Dumper导出keychain数据 http://blog.csdn.net/yiyaaixuexi/article/details/18404343

4、越狱手机可以有更多的权限做不应该做的事，因此安全性问题就突出了。在App中应该要检测手机是否越狱，做好越狱手机安全防护工作 http://blog.csdn.net/yiyaaixuexi/article/details/20286929

5、代码混淆：通过file、class-dump、theos、otool等工具，黑客可以分析编译之后的二进制程序文件，不过相对于这些工具来说，IDA的威胁最大。IDA是一个收费的反汇编工具，对于Objective-C代码，它常常可以反汇编到可以方便阅读的程度，这对于程序的安全性，也是一个很大的危害。因为通过阅读源码，黑客可以更加方便地分析出应用的通信协议和数据加密方式。经过class_dump后，若代码名称可直接猜出业务意图，则存在很大的风险，因此可以通过在编译时混淆方法名和参数名等 http://blog.csdn.net/yiyaaixuexi/article/details/29201699

6、数据擦除：当传参数或者使用某个变量，当使用完一次就不使用了，应该立即擦除，防止黑客利用。 http://blog.csdn.net/yiyaaixuexi/article/details/18669201

7、不要将敏感信息NSLog打印出来