iOS下基于SDK的安全防护框架设计

发布时间：2020-03-25 01:16

【摘要】：移动App应用已成为人们工作生活的重要组成部分,其为人们工作生活带来方便的同时,也带来了身份伪造,资费消耗,隐私泄露,源代码泄露等多种安全问题。虽然i OS系统具有较高的安全性,但是,众多i OS App开发者开发水平不一,导致App应用的安全问题依然严重。本文首先深入分析了在i OS应用开发阶段中存在的主要安全威胁;接着研究分析了现有的i OS移动App应用安全防护技术存在的缺陷和问题;最后,提出了基于SDK的安全防护框架。该框架包含如下五个功能模块:1)安全键盘模块:使用自定义的安全键盘代替原系统键盘,并通过runtime对录屏进程的监听,有效阻止用户输入信息的泄露。2)用户数据安全保存模块:对用户数据进行分类保存,根据不同数据类型给出不同的加密方案。3)App敏感信息保存模块:设计并实现了SSkeychain安全存储容器,并对plist文件进行加密。4)源代码保护模块:对App应用源码中的文件名,方法名,类名等进行混淆。5)安全热更新模块:热更新脚本使用https协议进行传输,本地执行的热更新脚本代码使用哈希算法验证其完整性。再者,本文实现了安全防护SDK,并使用3个App测试其功能正确性,同时分析了其性能,结果显示SDK在保护APP的同时对原有App业务基本没有影响;最后,对SDK本身进行安全性分析。本文提出的安全键盘改进了按键随机排列的方案,加入去系统缓存和防录屏攻击的功能,更有效地防范攻击者窃取输入信息的攻击;通过对用户数据分类加密,从根本上解决了i OS沙盒不安全的威胁;本文封装的keychain接口,去除了官方API上的一些常量设置,提高了开发者的开发效率;另外,本文对App源码混淆的内容进行改进,增加了攻击者分析源码的难度;最后,本文采用https协议和哈希算法保证更新脚本能够安全的被App调用。
【图文】：

虚拟键盘,坐标值,字符,坐标

结果如图2.1 所示，X 坐标代表屏幕以键盘界面左上角为零点，方向向右的坐标值，，Y 坐标代表方向下的坐标值。根据这些坐标可以轻易计算得到键盘值，例如打印坐标是（10，8）时，推测用户点击按键为“q”。图 2.1 虚拟键盘第一行字符对应的坐标值具体实现过程如下：在 iOS 系统中，由 UIEvent 类管理所有用户点击事件，当用户点击手机屏幕中任意的一点，攻击者可以通过以下 touchesBegan 方法获取用户点击的屏幕中的坐标

缓存,数据,词汇,文件

杭州电子科技大学硕士学位论文本文对通过获取键盘缓存窃取用户敏感信息的方法进行模拟。首先对 iPhone手机进行越狱，通过 unix 指令找到系统键盘缓存，其地址为：“/private/var/mobile/Library/Keyboard/dynamic-text.dat”。我们研究发现，该文件以dat 数据形式进行保存，使用 vim 指令查看该文件，结果如图 2.2 所示，该文件以明文的形式保存了一些用户常用的词汇，攻击者可以根据这些词汇猜测用户的账号、密码等信息。
【学位授予单位】：杭州电子科技大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP311.56;TP316

【参考文献】