iOS系统与应用安全分析方法研究

发布时间：2017-04-08 14:14

  本文关键词：iOS系统与应用安全分析方法研究，由笔耕文化传播整理发布。

【摘要】：随着移动互联网的飞速发展,智能手机、平板电脑、智能眼镜、智能手表等各种智能终端越来越普及,用户不仅使用智能终端进行通信和娱乐,还使用智能终端进行办公,甚至处理一些敏感数据。因此智能终端上存储了越来越多的用户个人隐私信息,包括通信录、短消息、电子邮件,甚至银行账号和密码。不容忽视的是,智能终端给人们生活带来便利的同时,也带来了许多安全和隐私相关的问题,比如系统漏洞、隐私泄露、病毒、后门软件等。当前最主流的两大移动操作系统分别是Android和iOS,其中iOS由苹果公司开发,被广泛应用于苹果公司的移动产品,包括iPhone,iPod Touch,iPad等。在苹果公司和全球开发人员的努力下,iOS凭借其良好的用户体验在移动市场获得了巨大份额。一方面,针对iOS系统进行的各种攻击,包括隐私窃取、病毒和木马等一直存在;另外一方面,由于iOS系统的封闭性,研究难度相对较大,针对iOS的安全研究工作相对较少。已有的一些成果主要集中在系统安全机制的分析、应用的隐私泄露以及针对iOS设备的电子取证。本文主要围绕iOS系统和应用程序的安全展开分析,综合讨论现有的研究成果,并创新的提出了安全研究方法和技术,主要贡献包括:1.全面总结了现在针对iOS系统和安全相关研究的工作,包括学术方面和工业方面的研究,涵盖了系统安全研究、应用安全研究、电子取证研究等方面。2.针对iOS设备的整体安全建立iOS设备安全威胁模型,包括iOS设备安全、系统安全以及应用安全三个方面。3.针对iOS设备安全和系统安全开发了iOS设备安全评测系统iVerifier,用实验证明该系统可有效的检测iOS设备硬件的安全性以及iOS系统的完整性。4.研究iOS应用存在的安全性问题,包括隐私泄露、开发人员误用加密函数导致未能有效保护数据和用户隐私等,针对iOS应用的安全分析开发了iOS应用安全评估系统iCryptoTracer。该系统可以分析某个iOS应用是否存在密码学误用的问题,并根据分析的结果对应用进行安全评级。
【关键词】：iOS 系统安全 应用安全 安全评估
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP316;TP309
【目录】：

• 摘要3-5
• ABSTRACT5-13
• 第一章 绪论13-17
• 1.1 研究背景13-14
• 1.2 本文贡献14-15
• 1.3 论文结构15-17
• 第二章 iOS安全国内外研究现状17-31
• 2.1 iOS系统简介17-19
• 2.1.1 iOS系统17
• 2.1.2 iOS系统架构17-19
• 2.2 iOS的安全技术19-25
• 2.2.1 iOS设备安全模型19-20
• 2.2.2 硬件安全 -安全启动链20-21
• 2.2.3 应用安全 -程序代码强制签名21-22
• 2.2.4 数据安全 -文件数据保护22-23
• 2.2.5 执行安全 -沙盒与地址空间布局随机化23-25
• 2.3 iOS相关研究25-28
• 2.3.1 隐私泄露相关的研究25
• 2.3.2 iOS系统存在的漏洞及利用25-26
• 2.3.3 安全提升研究26-27
• 2.3.4 电子取证研究27-28
• 2.4 关于越狱28
• 2.5 本章小结28-31
• 第三章 iOS设备安全评测系统iVerifier31-45
• 3.1 研究背景31-32
• 3.2 iOS安全威胁模型32-35
• 3.2.1 iOS硬件威胁32
• 3.2.2 iOS系统威胁32-35
• 3.2.3 iOS应用威胁35
• 3.3 相关背景知识35-39
• 3.3.1 iOS越狱35-36
• 3.3.2 iOS应用开发与测试36-37
• 3.3.3 个人计算机与iOS设备通信37-38
• 3.3.4 libimobiledevice库38-39
• 3.4 iVerifier系统设计39-40
• 3.5 iVerifier的iOS设备端实现40-43
• 3.5.1 iOS硬件安全检测模块40
• 3.5.2 iOS系统完整性检测模块40-42
• 3.5.3 iOS系统漏洞检测模块42-43
• 3.6 iVerifier个人计算机端实现43
• 3.7 本章小结43-45
• 第四章 iOS应用安全评估系统iCrypto Tracer45-61
• 4.1 研究背景45-46
• 4.2 相关背景知识46-52
• 4.2.1 Objective-C及相关概念46-47
• 4.2.2 Common Crypto库47-48
• 4.2.3 Method Swizzling48-50
• 4.2.4 iOS应用分析方法与技术50-52
• 4.3 系统设计52-57
• 4.3.1 iCrypto Tracer概览52-55
• 4.3.2 静态分析55
• 4.3.3 跟踪模块55-56
• 4.3.4 分析模块56-57
• 4.4 系统实现57-60
• 4.4.1 静态分析57-58
• 4.4.2 跟踪模块58-59
• 4.4.3 分析模块59-60
• 4.5 本章小节60-61
• 第五章 实验结果及分析61-69
• 5.1 用iVerifier测试iOS设备和系统61-63
• 5.1.1 设备选择61-62
• 5.1.2 测试结果62-63
• 5.2 用iCrypto Tracer测试iOS应用63-66
• 5.2.1 系统运行63
• 5.2.2 待测试iOS应用的选取63-64
• 5.2.3 对iOS应用进行测试64
• 5.2.4 案例分析64-65
• 5.2.5 对某个银行iOS应用进行攻击65
• 5.2.6 对某个iOS密码管理应用进行攻击65-66
• 5.3 局限性与不足之处66-67
• 5.3.1 iVerifier的局限性66-67
• 5.3.2 iCrypto Tracer的不足之处67
• 5.4 本章小节67-69
• 第六章 全文总结69-71
• 6.1 主要结论69
• 6.2 研究展望69-71
• 附录A 针对越狱iOS设备攻击的恶意程序71-73
• 参考文献73-77
• 致谢77-79
• 攻读学位期间发表的学术论文目录79-81
• 攻读学位期间参与的项目81-83

【相似文献】

中国期刊全文数据库 前4条

1 路鹏;方勇;方f ;蒲伟;;iOS系统代码签名机制研究[J];信息安全与通信保密;2013年05期

2 王志军;;看越狱黑客如何大战iOS系统[J];电脑爱好者;2013年06期

3 张可欣;张志强;;中文IOS系统下的图书阅读APP分析——以云中书城、当当读书和豆瓣阅读为例[J];现代出版;2013年03期

4 ;[J];;年期

中国硕士学位论文全文数据库 前3条

1 李勇;iOS系统与应用安全分析方法研究[D];上海交通大学;2015年

2 陈斌;基于iOS系统的脸谱积木游戏的设计与实现[D];西安电子科技大学;2013年

3 李明果;基于iOS系统的个性化电子书包的设计与开发[D];四川师范大学;2013年

  本文关键词：iOS系统与应用安全分析方法研究，，由笔耕文化传播整理发布。

本文编号：293026