iOS安全攻防（十八）：數據保護API

數據保護API

 

 

題外話

開篇先扯幾句題外話，許多朋友都問我怎么不寫防啊，我確實有點猶豫。
hackers總是想象如果自己是開發者會怎么寫，然后才能找到入手點。同理，開發者們也要想象自己是hackers會怎么做，才能采取相應的防御措施。然后，就是一場遞歸的博弈。
拿越獄檢測這件事來說，起初大家只需判斷有無安裝Cydia就好了，hackers們說好，那我就不安裝Cydia也可以動手腳。開發者們又說，那你一定得用的上MobileSubstrate，bash，ssh吧，我去檢測手機有沒有安裝這些工具。可是又有什么用呢？你判斷什么我繞過去什么。

 

當class-dump大肆流行，函數符號都被暴露，開發者想盡辦法藏起自己的敏感函數代碼。hackers們也知道class-dump的死穴在哪里，於是新的檢索辦法油然而生。也就說，當一個防御手段成為流行，它就不會再是個讓hackers大罵“真特么費勁”的防御手段了。比如之前介紹的一個小技巧：內存數據擦除  ，hackers知道開發者都去擦數據了，那我hook memset在你擦之前去讀就好了。開發者說：我直接寫硬盤上然后刪除！hackers說：難道你沒聽說過文件恢復？

OK，貧的有點多了，本文介紹一下防御相關的話題————iOS的數據保護API。

 

 

數據保護API

文件系統中的文件、keychain中的項，都是加密存儲的。當用戶解鎖設備后，系統通過UDID密鑰和用戶設定的密碼生成一個用於解密的密碼密鑰，存放在內存中，直到設備再次被鎖，開發者可以通過Data Protection API 來設定文件系統中的文件、keychain中的項應該何時被解密。

1）文件保護

 

 

/* 為filePath文件設置保護等級 */
NSDictionary *attributes = [NSDictionary dictionaryWithObject:NSFileProtectionComplete
                                                       forKey:NSFileProtectionKey];
[[NSFileManager defaultManager] setAttributes:attributes
                                 ofItemAtPath:filePath
                                        error:nil];

 

 

 

//文件保護等級屬性列表
NSFileProtectionNone                                    //文件未受保護，隨時可以訪問 （Default）
NSFileProtectionComplete                                //文件受到保護，而且只有在設備未被鎖定時才可訪問
NSFileProtectionCompleteUntilFirstUserAuthentication    //文件收到保護，直到設備啟動且用戶第一次輸入密碼
NSFileProtectionCompleteUnlessOpen                      //文件受到保護，而且只有在設備未被鎖定時才可打開，不過即便在設備被鎖定時，已經打開的文件還是可以繼續使用和寫入

 

2）keychain項保護

 

/* 設置keychain項保護等級 */
NSDictionary *query = @{(__bridge id)kSecClass: (__bridge id)kSecClassGenericPassword,
                        (__bridge id)kSecAttrGeneric:@"MyItem",
                        (__bridge id)kSecAttrAccount:@"username",
                        (__bridge id)kSecValueData:@"password",
                        (__bridge id)kSecAttrService:[NSBundle mainBundle].bundleIdentifier,
                        (__bridge id)kSecAttrLabel:@"",
                        (__bridge id)kSecAttrDescription:@"",
                        (__bridge id)kSecAttrAccessible:(__bridge id)kSecAttrAccessibleWhenUnlocked};

OSStatus result = SecItemAdd((__bridge CFDictionaryRef)(query), NULL);

 

//keychain項保護等級列表
kSecAttrAccessibleWhenUnlocked                          //keychain項受到保護，只有在設備未被鎖定時才可以訪問
kSecAttrAccessibleAfterFirstUnlock                      //keychain項受到保護，直到設備啟動並且用戶第一次輸入密碼
kSecAttrAccessibleAlways                                //keychain未受保護，任何時候都可以訪問 （Default）
kSecAttrAccessibleWhenUnlockedThisDeviceOnly            //keychain項受到保護，只有在設備未被鎖定時才可以訪問，而且不可以轉移到其他設備
kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly        //keychain項受到保護，直到設備啟動並且用戶第一次輸入密碼，而且不可以轉移到其他設備
kSecAttrAccessibleAlwaysThisDeviceOnly                  //keychain未受保護，任何時候都可以訪問，但是不能轉移到其他設備

 

 

 

應用實例

把一段信息infoStrng字符串寫進文件，然后通過Data Protection API設置保護。

 

 

NSString *documentsPath =[NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, YES) firstObject];
NSString *filePath = [documentsPath stringByAppendingPathComponent:@"DataProtect"];
[infoString writeToFile:filePath
             atomically:YES
               encoding:NSUTF8StringEncoding
                  error:nil];
NSDictionary *attributes = [NSDictionary dictionaryWithObject:NSFileProtectionComplete
                                                       forKey:NSFileProtectionKey];
[[NSFileManager defaultManager] setAttributes:attributes
                                 ofItemAtPath:filePath
                                        error:nil];

設備鎖屏（帶密碼保護）后，即使是越獄機，在root權限下cat讀取那個文件信息也會被拒絕。