测试iOS应用安全

Question

我正在开发应用。比如说，在最极端的情况下，终端用户对于生与死的程度应该是安全和安全的。事实上，这并不难，但让我们假设它。因此，我想确保，如果严重的坏人得到这个iPhone，并且做了他们棘手的工作来反汇编它，越狱，无论从应用程序获取数据，那么他们尽可能少线索。

我想建立，测试应用程序及其环境最安全的方式。

的问题是：

1. 是否有从苹果或其他来源的官方工具来测试不 只有应用程序本身，而是所有的安全的东西？
2. 我应该为担心访问 文件系统的坏人担心多少？我怎样才能防止数据泄露？
3. 如何可靠，例如无门户是现有的加密库？

Answer 1

如需帮助安全测试iOS应用，我会建议您检查OWASP's Mobile Security Project。有关移动应用程序常见漏洞的大量资源，但也有关于the steps to test a mobile application的指导。

为了您的具体问题：

1. 的XCode有一个内置Analyze feature看起来您的应用程序的源代码中的问题。这是一种静态分析。有第三方工具可以帮助进行动态分析，测试正在运行的应用程序。 OWASP ZAP和Burp Suite是此类别中工具的示例。

2. 如果用户有越狱手机，他们会想要访问整个文件系统。也不可能完全防止逆向工程。 This post from the Information Security community在这方面可能会有所帮助。但是，您可以限制您在设备上存储的敏感信息。小心日志文件，缓存文件，plist文件中存储的信息，基本上存储在设备上的任何信息。如果信息非常敏感，最好将其存储在服务器上而不是设备上，因为您拥有服务器并且不能直接控制用户的设备。

3. 我会咨询Developer's Guide to Encrypting and Hashing Data以及iOS Security Guide。我不知道具体的加密库，但通常最常见的问题是加密库的实现不佳，而不是库本身的问题。此外，通常使用现有的库比尝试创建自己的库更好。

我也想咨询Information Security Community，他们会对如何安全测试iOS应用程序有更多指导。