最近,我們在一家大型銀行機構的應用程序商店中開發併發布了一款手機銀行應用程序。該銀行聘請了一家安全公司對應用程序進行道德黑客攻擊,以查看它是否會泄露機密數據。如何在逆向工程可能的情況下保護應用程序IPA免受惡意攻擊
我們最近收到了該公司的黑客報告,該報告儘管沒有提到嚴重的安全問題,但仍包含項目的所有類文件,方法名稱和彙編代碼的列表。
現在客戶堅持要求我們修復這些安全漏洞並重新發布應用程序。但是我們不知道他們是如何設法從應用程序的IPA中獲取所有這些細節的。我搜索了這一點,發現一個特別的帖子提及this鏈接,其中指出,你不能保存你的應用程序被黑客攻擊。
請幫助我如何解決這些安全漏洞,或者如果不可能,如何說服客戶端。
編輯: 最近遇到this頁面。看起來像Arxan的EnsureIT可以阻止應用IPA逆向工程。任何有經驗的人?
還有總是涉及的風險。即使您自己沒有引入漏洞,該平臺也可能允許利用這些漏洞,最終可能會爲惡意攻擊者提供入口。
至於你的問題:它是而不是可以安全地假設硬編碼的URL,即使混淆無法置信,也不能從你的產品中刪除。 總是設計您的應用程序,以保證(儘可能)用戶數據的安全性,即使內置資源受到損害。如果單單瞭解這個URL就會帶來安全威脅,那麼您的整個方法和客戶端API本質上都是不安全的。請記住,這樣的信息也可能被中間人攻擊(以及其他攻擊模式)捕獲。
避免默默無聞的安全。如果有必要,只將敏感數據存儲在磁盤上。通常不允許PIN/TAN存儲。
有些想法可能(也可能不會)說服你的客戶,你的應用程序是安全的,因爲它可以:
我最近研究了這一點,我發現這篇文章有幫助,尤其是部分報價:
的本機應用程序的代碼存儲在一個二進制可執行文件的形式,這是進一步加密;只有當處理器將可執行文件加載到隨機存取存儲器中並且整個解密過程在硬件級發生時才執行其解密。這就是爲什麼創建離線解密工具非常困難的原因。解密加密二進制數據的唯一方法是在安裝了一些特殊工具的越獄設備上。
Security in iOS: Protecting .ipa File Content by Stoyan Stoyanov
您應該檢查這個問題:http://stackoverflow.com/questions/5556849/iphone-ipad-app-code-obfuscation-is-it-possible-worth-it – andreamazz
謝謝你的答案和視頻。然而,文章中接受的答案表示,目標C中的混淆是不可能的,並且已經描述的手動方法對於併入已經完成的應用來說太繁瑣和耗時。 – Vin
道德黑客?如果有人嘗試不道德的黑客行爲會怎麼樣? – peko