iOS app security - 分析和防範

講者：Hokila
mail：hokila.jan@splashtop.com
blog：josihokila.blogspot.com
FB：fb.me/hokilaj

這是10/17分享的第一個講者，在分享有關app的安全上攻防的相關議題
因為這是我第一次參加cocoahead聚會，誤信了google map而迷路，遲了半小時入場，因此有部份內容沒有聽完整>”<
幸好後來找到Hokila很好心的預錄了當天的內容，在投影片最後一頁的QR code裡（有列在參考資料裡）。

ps：報名網頁的地址『台北市大安區敦化南路一段205號6樓600室』，打入google map會出現在忠孝復興站＠＠
說到這，當天我到會場時，有另一個漂亮女生也遲到，我就和她打招呼，結果她問我：妳也是用google map嗎？
嗚哇～所以不只我一個人這樣阿！（握手

今天Hokila講的內容大致如下：

iOS app 資料結構
在一個APP裡面大概會有幾個資料夾

。MyApp.app裡面會存放一些APP會用到的照片、XAB、貼圖(PVR)或素材PNG、JPG等檔案(裡面的值無法修改)。
。Documents是建議存放永久性資料的地方，我們可以在裡面創建、修改、刪除要永久存放的檔案，如DB工具、抓影片放裡面，好處是只要plist裡宣告可以file share的話，他會可以用iTune打開來。PS: 這個資料夾會被iCloud自動備份。
。Library則是較為複雜的資料夾裡面一般會有下面這些資料夾
1. Application Support：也是放一些設定檔的地方，它不會不見
2. Cache：不會備份，存放可以再次從網路上下載的資料(每隔一段時間會清掉，何時清也不確定)
3. Cookie：存放webView的Cookie，要注意的是這個cookie和safari瀏覽器的並不一樣。
4. Preferences：放使用者相關設定檔的地方(NSUserDefault)
。tmp這個地方，重要的東西千萬不要放在裡面，因為只要每一次NSTemporaryDirectory重新restart時都會清掉，一般講者都是放download到一半的檔案，下次app開啟時再繼續download。
這邊也有提到可以去觀察對方的plist檔案來看他們的設定（如url schemes、document types ）
Console log：可以到此下載（http://support.apple.com/kb/DL1465）這個軟體。
剛剛隨意的載下來玩了一下，這邊有使用說明（請按此）
感覺蠻好玩的，可以用它來看到app沒有埋好的log、framework⾃自⼰己帶的log、system notification、memory warming

因此，在用framework時或是寫code時，要注意是不是有丟出什麼log訊息。
或是播影片時，把影片暫停、改全螢幕等等，有些會吐一些log出來，所以有時如果不知道別人怎麼做的，可以去觀察那個APP的log紀錄，把關鍵字丟到google查，或許可以查到一些端倪。
另外在這邊也可以看到memory leak，不過只能知道有沒有memory leak的狀況，而無法知道是為什麼造成的。
接下來是資料儲存的部份，很多時候，我們會將資料儲存在Library>Preferences，但若我們打開資料夾，會可以看到plist檔，並且key和value值都是明碼，這是非常危險的。（例如fb會在裡面有使用者的資料）
把資料放到keychain裡面，某app存的資料，另一個app也可以拿出來，並且有經過加密。（不過講者說可用keychain_dump解出裡面的table來）
另外可以使用charles來觀察網路狀況，這個工具我在開發flash也時常用到，非常好用。個人推薦map local和一個可以控制流量的功能
用本機檔案去替代伺服器上的檔案
控制下載流量
那要如何讓CHARLES可以偵測到IOS上APP的HTTP request呢?
首先我們要設定proxy，然後在iphone上設定代理伺服器

在這邊講者也列出了其他類似的工具：
ZAP (Mac Windows) Free：一個open source的工具
Fiddler (Windows) Free
Wire Shark (Mac Windows) Free：比較老牌的，講者覺得有點難用
因此我們在分析一個APP的時候，至少要分析下面幾個項目
● device screen
● console log
● plist、db裡面的狀況，一般會放在document裡面
● API request/response（送什麼出去、送什麼回來）
接下來是這次的講者們都很推薦的class-dump（在此下載）
這個東西可以dump app的class，看看裡面宣告了什麼東西。
但首先機子要先jb才可以連進去，用遠端登入的方式連進手機的位置

在手機上將專案抓下來

把它解壓縮

拿取版本，把它copy到

接下來就把app的資料拿出來看

便可以看到一些.h的檔案

如上圖，這時後大多的app都會有保護而導致dump失敗，這時候可以去一些ipa破解網站去下載app，通常從那些地方下載的都是已被破解，沒有保護的。否則就得自己去修改iap。
IAP Free和LocalAppStore
iGameGardin/八門神器=>搜尋記憶體位置，把該資料鎖定住，像是可以鎖值，像是血量什麼都不會變。
FLEX：最可怕的一項功能，鎖定function回傳值，例如說-(BOOL)isTransactionSucess 一定回傳YES
在這邊講者提供了十項資安要注意的議題
應對方法：
- model的值和view的值不要一樣
- 當model和server互相傳值時，不要太過相信彼此傳來的值，應還是要再做驗證
- 加密的話，不要用hash
範例：首先，不要使用get，如GET http://xxx.yyy/getUserData.php改成POST http://xxx.yyy/public
讓所有的api有一個共通接口，然後用(string)call_file_name來判別要呼叫那個api，用(string)token來認證使用者的身份（此token會在幾分鐘後失效），然後設定數字編號來代表不同的status
接下來就是使用ssl來傳遞資料，這樣就會有加密了
或這樣還不放心，可以把傳的值的結構改成struct
在買東西時做double check。例：買東西時把剩的錢和數量回傳，用的時候可再確認是否有該產品，較好的時機點是在使用者有做任何互動時，再去檢查資料是否正確，而不要每隔幾分鐘就去檢查一次。
存回db時做hash（不要直接把值原封不動存進去，因為很容易被搜尋修改）
加密方式選擇：md5、sha1已被破解
AES-128和AES-256是最潮的（他加解密是同一個key），現在還無法被破解。
public data可以不用加密，像折價券之類。但是private data一定要加密，例如密碼、交易記錄，就非常需要加密
不要只顧app端而已，要想到更多有關於server的東西，這樣才不會漏洞百出，更重要的是兩者的交互過程也要去思考，這樣整體的設計才會更完美。