【摘要】：移動(dòng)App應(yīng)用已成為人們工作生活的重要組成部分,其為人們工作生活帶來方便的同時(shí),也帶來了身份偽造,資費(fèi)消耗,隱私泄露,源代碼泄露等多種安全問題。雖然i OS系統(tǒng)具有較高的安全性,但是,眾多i OS App開發(fā)者開發(fā)水平不一,導(dǎo)致App應(yīng)用的安全問題依然嚴(yán)重。本文首先深入分析了在i OS應(yīng)用開發(fā)階段中存在的主要安全威脅;接著研究分析了現(xiàn)有的i OS移動(dòng)App應(yīng)用安全防護(hù)技術(shù)存在的缺陷和問題;最后,提出了基于SDK的安全防護(hù)框架。該框架包含如下五個(gè)功能模塊:1)安全鍵盤模塊:使用自定義的安全鍵盤代替原系統(tǒng)鍵盤,并通過runtime對(duì)錄屏進(jìn)程的監(jiān)聽,有效阻止用戶輸入信息的泄露。2)用戶數(shù)據(jù)安全保存模塊:對(duì)用戶數(shù)據(jù)進(jìn)行分類保存,根據(jù)不同數(shù)據(jù)類型給出不同的加密方案。3)App敏感信息保存模塊:設(shè)計(jì)并實(shí)現(xiàn)了SSkeychain安全存儲(chǔ)容器,并對(duì)plist文件進(jìn)行加密。4)源代碼保護(hù)模塊:對(duì)App應(yīng)用源碼中的文件名,方法名,類名等進(jìn)行混淆。5)安全熱更新模塊:熱更新腳本使用https協(xié)議進(jìn)行傳輸,本地執(zhí)行的熱更新腳本代碼使用哈希算法驗(yàn)證其完整性。再者,本文實(shí)現(xiàn)了安全防護(hù)SDK,并使用3個(gè)App測試其功能正確性,同時(shí)分析了其性能,結(jié)果顯示SDK在保護(hù)APP的同時(shí)對(duì)原有App業(yè)務(wù)基本沒有影響;最后,對(duì)SDK本身進(jìn)行安全性分析。本文提出的安全鍵盤改進(jìn)了按鍵隨機(jī)排列的方案,加入去系統(tǒng)緩存和防錄屏攻擊的功能,更有效地防范攻擊者竊取輸入信息的攻擊;通過對(duì)用戶數(shù)據(jù)分類加密,從根本上解決了i OS沙盒不安全的威脅;本文封裝的keychain接口,去除了官方API上的一些常量設(shè)置,提高了開發(fā)者的開發(fā)效率;另外,本文對(duì)App源碼混淆的內(nèi)容進(jìn)行改進(jìn),增加了攻擊者分析源碼的難度;最后,本文采用https協(xié)議和哈希算法保證更新腳本能夠安全的被App調(diào)用。
【圖文】：

結(jié)果如圖2.1 所示，X 坐標(biāo)代表屏幕以鍵盤界面左上角為零點(diǎn)，方向向右的坐標(biāo)值，，Y 坐標(biāo)代表方向下的坐標(biāo)值。根據(jù)這些坐標(biāo)可以輕易計(jì)算得到鍵盤值，例如打印坐標(biāo)是（10，8）時(shí)，推測用戶點(diǎn)擊按鍵為“q”。圖 2.1 虛擬鍵盤第一行字符對(duì)應(yīng)的坐標(biāo)值具體實(shí)現(xiàn)過程如下：在 iOS 系統(tǒng)中，由 UIEvent 類管理所有用戶點(diǎn)擊事件，當(dāng)用戶點(diǎn)擊手機(jī)屏幕中任意的一點(diǎn)，攻擊者可以通過以下 touchesBegan 方法獲取用戶點(diǎn)擊的屏幕中的坐標(biāo)

杭州電子科技大學(xué)碩士學(xué)位論文本文對(duì)通過獲取鍵盤緩存竊取用戶敏感信息的方法進(jìn)行模擬。首先對(duì) iPhone手 機(jī) 進(jìn) 行 越 獄 ， 通 過 unix 指 令 找 到 系 統(tǒng) 鍵 盤 緩 存 ， 其 地 址 為 ：“/private/var/mobile/Library/Keyboard/dynamic-text.dat”。我們研究發(fā)現(xiàn)，該文件以dat 數(shù)據(jù)形式進(jìn)行保存，使用 vim 指令查看該文件，結(jié)果如圖 2.2 所示，該文件以明文的形式保存了一些用戶常用的詞匯，攻擊者可以根據(jù)這些詞匯猜測用戶的賬號(hào)、密碼等信息。
【學(xué)位授予單位】：杭州電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP311.56;TP316

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 孫家廷;;App Store遭到攻擊后如何保護(hù)iPhone安全[J];計(jì)算機(jī)與網(wǎng)絡(luò);2015年23期

2 何國鋒;曾瑩;;Android與iOS終端安全機(jī)制比較分析[J];互聯(lián)網(wǎng)天地;2015年11期

3 姚華;;IOS APP安全雜談[J];計(jì)算機(jī)與網(wǎng)絡(luò);2015年16期

4 李崢嶸;;iOS系統(tǒng)安全和口令破解研究[J];安陽師范學(xué)院學(xué)報(bào);2014年05期

5 賀宇軒;孟魁;劉功申;徐林;;iOS系統(tǒng)數(shù)據(jù)安全分析與加固[J];通信技術(shù);2014年06期

6 林東岱;田有亮;田呈亮;;移動(dòng)安全技術(shù)研究綜述[J];保密科學(xué)技術(shù);2014年03期

7 孫曉文;;iOS與Android操作系統(tǒng)的優(yōu)缺點(diǎn)比較[J];無線互聯(lián)科技;2013年12期

8 趙金龍;王莉娟;惠合意;;IOS手機(jī)安全漏洞防范研究[J];電腦知識(shí)與技術(shù);2013年34期

9 羅成;武s

本文編號(hào)：2599164