现代 iOS 应用安全

在 QCon 纽约 2016 大会上， Trail of Bits 首席执行官兼安全专家 Dan Guido 阐述了如何确保 iOS 应用安全，包括正确地使用所有 iOS 安全配置，而且不要忘记，应用可能运行在一部已经越狱的手机上。

如 Guido 所言，iOS 应用安全取决于操作系统层，后者提供了应用程序代码签名和一个沙箱模型。代码签名让追踪每个 4KB 页的所有者成为可能，而沙箱模型会限制应用访问其他的应用，保护系统文件和资源，这样，即使是恶意应用也很难制造任何麻烦。

据 Guido 介绍，iOS 安全的基础是 Secure Enclave，这是一个在制造时分配的单独的设备密匙，在应用层无法访问，也就是说，无法在 Secure Enclave 外面读取安全密钥。这项技术被用于 iOS 上所有的加密操作以及 Apple Pay 和 Keychain 保护。

按照 Guido 的说法，开发人员应该遵循三个基本的 iOS 应用安全原则。

• 仅使用 HTTPS：这通过总是在 URL 指定https来实现。在这种情况下，NSURLConnection和NSURLSession会使用 App Transport Security （ATS），这可以保证你恰当地使用了 TLS 1.2、证书验证等。此外，Guido 建议使用 TrustKit ，该框架让你可以轻松地部署绑定到任意 iOS 或 OS X 应用的 SSL 公共密钥，监控绑定验证失败。

• 使用加密：应该使用 DPAPI 和 Keychain 加密所有的文件、密码和令牌。Guido 用一些时间介绍了 DPAPI 提供的选项：

  • 加密文件：NSFileProtectionComplete、NSFileProtectionCompleteUnlessOpen、NSFileProtectionCompleteUntilFirstAuth；
  • 将 NSData 写到磁盘：NSDataWritingProtectionComplete、NSDataWritingProtectionCompleteUnlessOpen、NSDataWritingProtectionCompleteUntilFirstAuth。

  Stack Overflow 上有个帖子提供了有关它们的一些值得注意的细节。

• 清理：这是避免留下敏感数据的基本步骤。虽然几乎所有存储在磁盘上的文件都是加密的，但是 Guido 警告说要提防若干不容易察觉的危险。特别地，iTunes 备份的存储是不加密的，因此，通过攻击桌面操作系统而不是 iOS窃取敏感数据就成为一种可能。Guido 提到，你可以禁止使用 NSURLIsExcludedFromBackupKey密钥向 iCloud 或 iTunes 同步。此外，在UIPasteboard、URL 或者键盘缓存、iOS 自动获取的应用后台快照、cookies、NSLog 记录等地方，应用通常会留下一定量未加密的潜在敏感数据。所有这些风险都可以通过遵循恰当的策略来避免，例如，重写applicationDidEnterBackground，将hidden设为YES；使用secureTextEntry，禁用自动更正，从而规避键盘缓存，等等。

Guido 总结道，做完这些基本工作后，就可以考虑消除其他层面的风险，比如自定义 URL 处理器、UIWebView中的 XSS、XML 解析、SQL 注入，等等。

不过，当应用运行在已经越狱的手机上时，所有那些配置就都不是很有效了。越狱是禁用了基本安全机制的漏洞利用程序。它们可以被用来攻击手机，并取得手机的控制权，但有趣的是，用户因为种种原因自愿越狱，比如访问第三方应用商店，替换默认应用，自定义操作系统外观，解锁设备。按照 Guido 的说法，多达 700 万 iPhone 用户已经越狱了他们的手机，也就是说，运行在这些手机上的恶意应用可以绕过所有的设备安全机制，比如 Keyraider 就窃取了 225000 台设备的 Apple ID 证件用于应用内购买。

对于运行在已经越狱的手机上的应用，有几种方法可以提升它的安全性。

• 当运行在已经越狱的设备上时，检测成功越狱后留下的系统工件。通常，这可以归结为实现若干检查，比如是否存在 ssh、Cydia.app 文件、fork()系统调用，等等。
• 拒绝调试或钩挂应用程序的尝试，防止绕过越狱检查的攻击者使用调试器或者特定的工具，如 tsProtector 或 xCon 。通常，这可以通过在运行时使用sysctl找出谁是应用的属主来实现：如果它不是launchd或内核，就可以退出或更改执行。
• 增加理解由 IDA Pro 、 Hopper 或 Binary Ninja 生成的拆解应用代码的难度。其实现可以借助一些迷惑技术将不使用的代码增加 100 倍，加密符号，使用谓词，等等。

最后一点，Guido 强调了全面实施上述所有配置的重要性，借助一个 LLVM 的修改版本在编译时修改代码，不依赖个体程序员在必要的地方增加检查。

感兴趣的读者可以在 InfoQ 上观看完整视频。

查看英文原文： Modern iOS Application Security