我在没有访问控制的应用程序中保存了钥匙串中的秘密。从我搜索的项目应该只能通过我的应用程序访问。由应用程序安全创建的钥匙串项目没有访问控制吗?
无论如何妥协这个钥匙扣项目?例如黑客可以安装具有相同捆绑标识符的虚拟应用程序来替换我的应用程序并获取我的钥匙串项目?
我在没有访问控制的应用程序中保存了钥匙串中的秘密。从我搜索的项目应该只能通过我的应用程序访问。由应用程序安全创建的钥匙串项目没有访问控制吗?
无论如何妥协这个钥匙扣项目?例如黑客可以安装具有相同捆绑标识符的虚拟应用程序来替换我的应用程序并获取我的钥匙串项目?
iOS有一个可在设备解锁时访问的钥匙串。只有您的应用程序(或设置了应用程序,如果您设置了钥匙串共享)才能访问您存储的钥匙串项目。但是,如果您的设备遭到越狱,有些方法可以从钥匙串中窃取物品。请参见本教程有钥匙扣最佳实践一些好的信息:
ios App Security Ray Wenderlich
从上述网站:
虽然钥匙串访问更安全,它也是一个高优先级目标。对于越狱的iOS设备,有一些命令行实用工具可以打印出Keychain Access数据库的内容。
我相信现在不可能安装假应用程序并泄漏自iOS 8.1.3以来的钥匙串。 (外部阅读:https://www.fireeye.com/blog/threat-research/2015/06/three_new_masqueatt.html) 另外,您还可以考虑使用TouchID保护的钥匙串,因为那些在硬件级别受到保护,我相信