iOS应用程序安全开发须知(二)-控件新闻-慧都网

iOS应用程序安全开发须知(二)

原创|行业资讯|编辑：龚雪|2014-06-11 09:39:01.000|阅读 488 次

概述：iOS应用程序因为其特殊性，被攻击的可能也是很高的。在开发过程中，需要从三个方面考虑程序安全性。

本地文件和数据安全

程序文件的安全

iOS 应用的大部分逻辑都是在编译后的二进制文件中，但由于近年来混合式（Hybrid）编程方式的兴起，很多应用的部分功能也采用内嵌Web浏览器的方式来实现。例如腾讯QQ iOS客户端的内部，就有部分逻辑是用Web方式实现的。由于iOS安装文件其实就是一个zip包，所以我们可以通过解压，看到包内的内容。以下是我解开腾讯QQ客户端，看到的其qqapi.js文件的内容。

可以看到，这些文件都有着完整清晰的注释。通过分析这些JavaScript文件，黑客可以很轻松地知道其调用逻辑。在越狱手机上，还可以修改这些JavaScript代码，达到攻击的目的。

我也曾尝试查看支付宝客户端中的彩票功能，通过分析，也可以找到其完整的、带着清晰注释的JavaScript代码，如图3所示（支付宝现在已对相应代码进行了加密）。

图3 支付宝应用内的JavaScript文件

通过将JavaScript源码进行混淆和加密，可以防止黑客轻易地阅读和篡改相关的逻辑，也可以防止自己的Web端与Native端的通信协议泄漏。

本地数据安全

iOS 应用的数据在本地通常保存在本地文件或本地数据库中。如果对本地的数据不进行加密处理，很可能被黑客篡改。比如一款名为《LepsWorld 3》的游戏，打开它的本地文件，可以很容易地找到，它使用了一个名为ItempLifes的变量保存生命数值（如图4所示）。于是我们可以简单修改该值，达到修改游戏参数的目的。而在某宝上，也可以找到许多以此挣钱的商家。对于本地的重要数据，我们应该加密存储或将其保存到keychain中，以保证其不被篡改。

图4 《LepsWorld 3》的本地数据