Tag: 信息安全

动态分析iOS应用程序而无需越狱

静态分析与动态分析 让我们从不同类型的分析和一些比较开始这个冒险。 静态分析可以帮助检测大量问题,例如硬编码的敏感数据,各种漏洞,错误和后门。 通过分析iOS应用程序,我们可以注意到有用的工具,例如IDA Pro,Hopper Disassembler,MobSF或Radare2。 这种方法的优点是能够自动扫描文件和代码,包括几乎不覆盖100%的未使用代码。 动态分析可帮助您在应用程序运行时对其进行浏览。 例如,在运行时检查程序的状态(内存内容,寄存器,变量值),了解工作的逻辑,等等。 使用这两种方法,您可以在分析应用程序时执行最定性的工作 ,覆盖整个攻击面,并找到最大数量的错误和漏洞。 动态分析 没有设备或仿真器,就不可能对移动应用程序进行动态分析。 几乎总是首选实际设备(除非非常需要对该任务进行并行化)。 但是设备的存在增加了研究价格。 此外,您必须能够在设备上安装自己的应用程序和工具以执行应用程序分析。 Android情况 在浏览Android应用程序时,通常可以在IDE中使用设备和模拟器的旧版和廉价版。 Android有一种简单的方法来提升用户的权限,即“获得root访问权”,以便在其上安装自己的工具和应用程序。 在先前来自中国的智能手机型号中,设置中的切换器可让您一次点击即可获得超级用户特权。 在每天使用的个人设备上,root用户会大大削弱系统的安全性并导致恶意软件感染。 在研究中,这是一件有用的事情,可让您加快并改善研究进度。 iOS问题 在审核iOS应用程序期间,还有一些其他要点: 设备的成本很高,但是需要单独的设备。 您不能使用个人设备。 设备型号:较旧的智能手机和平板电脑缺少新功能(例如,强制触摸/面部识别/ ..),因此不适用 设备类型:电话,平板电脑,手表-所有这些都在分析中起着重要作用(我们遇到了以下情况:同一应用程序中的漏洞仅在特定类型设备的版本中存在) 最新版本的iOS:API不断发展,为了进行定性分析,应在最新版本的iOS上进行分析 在设备上越狱:安装应用程序和工具进行检查,访问文件系统 越狱 早些时候,当第一部iPhone面世时,它在发布后几天就遭到了黑客攻击。 较低的安全级别一直保持到操作系统的第四版:研究人员创建了扩展(进行了调整),进行了iOS的组装并添加了应用程序。 随着时间的流逝,苹果通过在更新中添加了为越狱设备创建的一些最流行的功能,改变了其对安全性的态度并显着增强了系统保护。 例如,控制中心经过了调整,后来成为iOS的内置组件。 系统的每个新发行版都增加了查找和利用漏洞,更改API和可访问性功能的时间(将某些移动到私有区域,某些移动到公共区域)。 这些变化和许多其他变化使安全研究人员和调整开发人员(系统附加组件)和应用程序的工作变得困难,迫使他们更新其工具以使用新的API和功能。 对设备的增强保护还受到密切关注“坏蛋”,情报机构以及所有想要访问设备上数据的人员的影响。 因此,今天,iOS远程越狱的价格达到了150万美元。

这是避免被黑客入侵的最佳指南

保持应用更新 使用过时的应用程序会使您面临安全漏洞。 更新通常包含安全升级,可修补潜在的网络攻击的薄弱环节。 这不仅仅是决定最终在iPhone上下载iOS 11。 它也适用于路由器上的固件,以及几乎所有连接到互联网的产品。 使用智能密码 为了方便起见,人们太多次使用相同的密码。 在所有帐户上使用通用密码的问题在于,如果有人可以访问您的Spotify密码,那么他们也可以进入您的网上银行和电子邮件。 幸运的是,有一个简单的解决方案:使用浏览器或计算机的密码管理器! 它们可以帮助您为您创建强密码,并将它们存储在一个地方。 只要确保您的密码管理器的密码是安全的即可。 主板建议使用密码短语,而不是一系列大写字母,符号和数字。 他们的密码示例是:Floodlight午睡柯克桶截肢骰子 两要素认证 许多人可能已经在许多帐户中使用了此功能。 Facebook最近添加了此功能,银行也使用了双重身份验证(2FA)。 这不仅需要登录密码,而且还需要发送到手机的密码。 不要忘了移动数据安全性 智能手机的所有者平均每天花费2个小时15分钟使用应用程序。 每个应用程序都包含有关您的信息。 如果您丢失了电话,并且某人能够访问您的电话,那么他们就可以访问很多私人信息。 第一道防线是手机的密码。 不要用简单的代码来猜测,例如您的生日或地址。 网络安全专家说,iPhone是您可以获得的最安全的手机。 iOS应用具有复杂的审批流程,需要添加到应用商店中。 最近,Google的旗舰设备增强了Android的安全性。 请小心安装哪些应用程序,因为黑客已经使用Play商店发布了虚假应用程序。 不要打扰这些安全方法 PGP 相当好的隐私权(PGP)可能不值得花时间,因为它是如此令人讨厌。 PGP是用于消息,电子邮件和文件的加密程序。 在FBI或其他组织无法破解PGP加密文件的情况下,有许多已发布的实例。 虽然它可以正常工作,但创建者停止使用它,因为它在手机上不起作用。 私人电子邮件服务器 通常,即使对于Google而言,电子邮件也很难完全保护和加密。 创建自己的电子邮件服务器只会使事情复杂化,并使您更容易受到攻击。 使加密成为常态 “特朗普的中央情报局局长迈克·庞培(Mike Pompeo)认为,使用加密本身可能是一个危险信号。”主板解释说,即使您“无处藏身”,使用加密也可以帮助所有人安全。 如果加密不是一个危险信号,而是成为一种规范,那么每个人都将拥有更高的安全性。

ios Objective C iphone swift xcode 迅速 uitableview ipad cocoa触摸 快速 iOS应用开发 目标C 核心数据 ios7 cocoa touch uiview JavaScript uiviewcontroller 编程 ios8 Facebook ios5 swift3 android uiwebview
Interesting Posts

使用.000Z格式化datestring到NSDate

使用Parse.com Stripe API创build费用时出错

什么是Google Firebase?

在SecondViewController中单击button时,在ViewController中显示图像

iOS:如何使用AVAssetWriter制作一系列影像

iPhone 4 AVFoundation:同时捕捉前后相机

开源∝了解更多

如何在iOS中使用sqlite存储双引号

iOS 7及更高版本:设置每个视图控制器的状态栏风格

如何从CIAreaHistogram中提取主色?

Monotouch.Dialog和iAds

如何在60秒内在Xcode开发Mac上恢复60 GB

科威特的iOS应用开发

如何在UITableViewCell中点击单元格的button,而不用动作单元格的继续

找不到架构arm64的符号