Attenuazione dell'esclusione SSL su iOS

3

Sto tentando di mitigare l'esclusione SSL su un iOS jailbroken. Non riesco a trovare alcun buon lavoro come Mobile Substrate e SSL kill switch sono in grado di ignorare SSL.

Ho provato due cose:

  • Blocco SSL
  • Rileva il jailbreak e interrompe l'applicazione

Entrambi possono essere incrinati. La mia applicazione tratta i dati riservati, quindi è necessario proteggere da SSL kill switch e substrato mobile.

Modifica Grazie a tutti per le vostre meravigliose risposte. Recentemente mi sono imbattuto in un progetto di sicurezza OWASP , contenente i principali rischi che gli sviluppatori ignorano durante le fasi di sviluppo. Quindi la mia lista di controllo è diventata molto più grande:

Hanno anche un cheatsheet per test di sicurezza iOS . Quindi prendere tutte le misure di sicurezza è un mal di testa e non penso che il mio datore di lavoro sia pronto per questo, dal momento che richiede molto tempo. Quindi dalla lista che sto scegliendo:

  • Protezione dell'archiviazione dei dati
  • TLS (autorizzazione e autenticazione, ovvero SSL a 2 vie)
  • Protezione binaria

Qualche opinione al riguardo, come se fosse sufficiente assicurare questi 3? Anche l'applicazione a cui sto lavorando è un'applicazione di e-banking se qualcuno sta facendo pubblicità.

    
posta Mohsin Khan 15.09.2015 - 12:29
fonte

2 risposte

17

I am trying to mitigate SSL bypassing on a jailbroken iOS. ... My application handles confidential data so securing from SSL kill switch and mobile substrate is necessary.

Non c'è nulla da mitigare qui. SSL viene utilizzato solo per la sicurezza del livello di trasporto, ovvero per proteggere tutto tra il client e il server. Non è utilizzato per proteggere i dati sul client o i dati sul server stesso. E anche con un dispositivo jailbroken il trasporto è ancora sicuro, cioè nessun man-in-the-middle può leggere i dati a meno che il proprietario del dispositivo lo abbia reso esplicitamente possibile cambiando la tua applicazione o installando un'altra CA di fiducia.

Se invii dati a un dispositivo fuori dal tuo controllo, devi aspettarti che l'attuale proprietario del dispositivo sia in grado di leggere e manipolare i dati. Pertanto non dovresti inviare alcun dato al dispositivo che l'utente non dovrebbe vedere e non dovresti aspettarti che i dati che torni siano innocui.

    
risposta data 15.09.2015 - 13:04
fonte
5

Se il dispositivo è jailbroken, allora hai già perso. Non puoi fidarti di un sistema jailbroken.

Puoi fare uno sforzo per rilevare il jailbreak e poi rifiutarti di correre. Ma nessuno di questi metodi di rilevamento è infallibile. Perché, beh, non puoi fidarti di un sistema jailbroken.

Ulteriori letture: domande su (rilevamento) dei jailbreak :

risposta data 15.09.2015 - 12:48
fonte

Leggi altre domande sui tag