現(xiàn)在很多iOS的APP沒有做任何的安全防范措施拭嫁，導致存在很多安全隱患和事故可免，今天我們來聊聊iOS開發(fā)人員平時怎么做才更安全。

一做粤、網(wǎng)絡方面

用抓包工具可以抓取手機通信接口的數(shù)據(jù)浇借。以Charles為例，用Charles可以獲取http的所有明文數(shù)據(jù)怕品，配置好它的證書后就可以模擬中間人攻擊妇垢，獲取https加密前的明文數(shù)據(jù)。

1.1 中間人攻擊

先簡要地說下什么是中間人攻擊：

①客戶端：“我是客戶端，給我你的公鑰” -> 服務端（被中間人截獲）闯估。

所以現(xiàn)在是：

客戶端->中間人

②然后中間人把消息轉給服務端灼舍，也就是：

中間人->服務端

③服務端把帶有公鑰的信息發(fā)送給客戶端，但是被中間截獲涨薪。所以是：

服務端-[服務端的公鑰] ->中間人

④中間人把服務端的公鑰替換成自己的公鑰骑素，發(fā)送給客戶端，聲稱是服務端的公鑰：

中間人-[中間人的公鑰] ->客戶端

⑤客戶端用得到的公鑰加密尤辱，實際是用中間人的公鑰進行加密砂豌，所以中間人可以用自己的私鑰解密，獲取原始數(shù)據(jù)光督，然后再用服務端的公鑰對原始數(shù)據(jù)（或者修改原始數(shù)據(jù)內容）加密后發(fā)送給服務端阳距。

這樣中間人就可以獲取到雙方的通信數(shù)據(jù)，并可以制造虛假數(shù)據(jù)结借。

1.2 如何防范中間人攻擊筐摘？

下面開始說如何防范：

1.2.1 SSL Pinning

SSL Pinning的原理就是把服務端的公鑰存到客戶端中，客戶端會校驗服務端返回的證書是否和客戶端保存的一致船老，這樣就避免了中間人替換證書進行的攻擊咖熟。

SSL Pinning的實現(xiàn)比較簡單，只需要把CA證書放入項目中柳畔，通過Security framework實現(xiàn)NSURLSession上的SSL Pinning馍管。如果用的是AFNetworking，代碼更簡單一點：

這樣通過Charles抓包就會報錯薪韩。

證書驗證有可以只驗證公鑰（AFSSLPinningModePublicKey）确沸，也可以完全驗證證書（AFSSLPinningModeCertificate）。

但是用SSL Pinning有個很嚴重的問題俘陷，就是如果證書有問題罗捎，只有發(fā)布新版本才能解決。如果新版本一直審核不通過拉盾，app的網(wǎng)絡通信就全部掛掉了桨菜。

比如賽門鐵克（Symantec）證書被google和iOS12不信任的問題。如果app內置了證書捉偏，就必須要重新發(fā)版倒得。

1.2.2 接口內容進行加密

很多的app接口只對請求的參數(shù)進行加密和各種驗證，而接口返回過來的數(shù)據(jù)就是明文夭禽。如果不用SSL Pinning來防止中間人攻擊屎暇，也可以把接口返回的數(shù)據(jù)也進行加密，這樣抓包工具抓到包后也依然不能破解驻粟。

比如微信，微信中的接口用的是http協(xié)議，但是內容全部進行了加密蜀撑。

現(xiàn)在常用的是對稱加密挤巡，加密效率比較快。如果app里有的數(shù)據(jù)特別重要酷麦，還是要用非對稱加密矿卑，非對稱加密更安全，但是效率會比較慢沃饶。

三人行母廷，必有我?guī)煟∫粋€好的交流圈子不僅能夠幫助我們解決一些平時開發(fā)的問題糊肤，也能幫我們實時獲取最新的開發(fā)相關新聞琴昆！小編的iOS進階2000人大群：679884541！歡迎還在iOS開發(fā)路上前行的所有人馆揉！

二业舍、日志

2.1 Swift日志

Swift中打印日志的語法可以用print，也可以用NSLog升酣。但是盡量別用NSLog舷暮，因為Swift中用NSLog，系統(tǒng)日志中是能查到的噩茄∠旅妫可以通過pp助手、iTools或者Xcode的Devices and Simulators 來查看系統(tǒng)日志绩聘。

用print打印日志就不會出現(xiàn)在系統(tǒng)日志中沥割。

2.2 OC日志

在release環(huán)境下不要輸出NSLog日志。一般大家都會用宏定義解決君纫，如下：

三驯遇、信息的存儲

3.1 密鑰

大部分的程序員喜歡直接把密鑰放到宏或者常量里。

如：#define AES_KEY @“aaa123"

這樣做很容易就可以被反編譯出來蓄髓。安全性比較差叉庐。可以用以下方法加強安全会喝，增加破解的難度陡叠。

對密鑰（A）進行加密后定義為宏（B），使用的時候進行解密得到密鑰（A）肢执。其中對密鑰A加密的密鑰為C枉阵。

因為在宏定義的時候我們如果定義成字符串，會直接存在data段预茄，這樣破解者很容易獲取到兴溜。比較安全的做法是把C和B定義成uint8_t[]數(shù)組侦厚，這樣每個字符就會放到text段的每個單獨指令中。指令執(zhí)行后生成字符串拙徽。這樣就會很安全刨沦。

用一段長文本，按規(guī)則提取出里面的密鑰膘怕，密鑰是隨機的想诅。

在服務端和客戶端定義一段長文本，app端隨機生成起始位置和長度岛心，把起始位置和長度進行移位等操作来破，生成相應的數(shù)字，對數(shù)字進行Base64編碼忘古，生成的字符串 傳給服務端徘禁，服務端根據(jù)這個字符串 就能 解析出相關的密鑰。

代碼如下：

這樣只是增加了破解者獲取密鑰的難度存皂，其實并不能完全阻止破解者獲取晌坤。

3.2 Keychain

越獄的iPhone可以查看導出Keychain保存的信息。Keychains的內容存放在sqlite中旦袋，目錄為：/private/var/Keychains骤菠。可以通過keychain-dump可以查看鑰匙串里存放的的內容疤孕。

所以保存到Keychain的數(shù)據(jù)一定要是加密之后的數(shù)據(jù)商乎。

3.3 plist、sqlite

plist祭阀、sqlite可以直接在ipa安裝文件中獲取到鹉戚，所以不要在這些文件中存放重要信息，如果要保存专控，就進行加密后再存放抹凳。

四、app加固

4.1 代碼混淆

代碼混淆就是把易讀的類名伦腐、方法名替換成不易讀的名字赢底。常用的方法有宏替換和腳本替換。

比如本來方法名為：- (void)loadNetData; 進行代碼混淆后柏蘑，用class-dump導出頭文件后會顯示成修改后的方法名：- (void)showxhevaluatess;

4.2 用C語言

核心代碼用C語言寫幸冻，但是C語言的函數(shù)也可以被hook，比如用fishhook咳焚。開發(fā)人員可以用靜態(tài)內聯(lián)函數(shù)來防止hock洽损，破解者就只能去理解代碼的邏輯。

4.3 檢測tweak

可以檢測 /Library/MobileSubstrate/DynamicLibraries 下的 plist 文件里是否包含自己app的bundle id革半。如果包含碑定，可以進行限制app的功能流码、提示該手機不安全 等。

原文地址: