我在沒有訪問控制的應用程序中保存了鑰匙串中的祕密。從我搜索的項目應該只能通過我的應用程序訪問。由應用程序安全創建的鑰匙串項目沒有訪問控制嗎?
無論如何妥協這個鑰匙扣項目?例如黑客可以安裝具有相同捆綁標識符的虛擬應用程序來替換我的應用程序並獲取我的鑰匙串項目?
我在沒有訪問控制的應用程序中保存了鑰匙串中的祕密。從我搜索的項目應該只能通過我的應用程序訪問。由應用程序安全創建的鑰匙串項目沒有訪問控制嗎?
無論如何妥協這個鑰匙扣項目?例如黑客可以安裝具有相同捆綁標識符的虛擬應用程序來替換我的應用程序並獲取我的鑰匙串項目?
iOS有一個可在設備解鎖時訪問的鑰匙串。只有您的應用程序(或設置了應用程序,如果您設置了鑰匙串共享)才能訪問您存儲的鑰匙串項目。但是,如果您的設備遭到越獄,有些方法可以從鑰匙串中竊取物品。請參見本教程有鑰匙扣最佳實踐一些好的信息:
ios App Security Ray Wenderlich
從上述網站:
雖然鑰匙串訪問更安全,它也是一個高優先級目標。對於越獄的iOS設備,有一些命令行實用工具可以打印出Keychain Access數據庫的內容。
我相信現在不可能安裝假應用程序並泄漏自iOS 8.1.3以來的鑰匙串。 (外部閱讀:https://www.fireeye.com/blog/threat-research/2015/06/three_new_masqueatt.html) 另外,您還可以考慮使用TouchID保護的鑰匙串,因爲那些在硬件級別受到保護,我相信