我在我的应用中的密钥链中保存了一个没有访问控制的秘密。根据我搜索过的内容,我的应用只能访问该项目。
有没有妥协这个钥匙串项目?例如,黑客可以安装具有相同捆绑标识符的假应用程序来替换我的应用程序并获取我的钥匙串项目吗?
答案 0 :(得分:1)
iOS有一个可在设备解锁时访问的钥匙串。只有您的应用程序(或一组应用程序,如果您设置了钥匙串共享),才能访问您存储的钥匙串项目。但是如果你的设备被越狱,有办法从钥匙串中窃取物品。请参阅本教程,了解有关Keychain最佳实践的一些信息:
ios App Security Ray Wenderlich
来自以上网站:
尽管Keychain Access更安全,但它也是一个高优先级的目标。对于越狱的iOS设备,有命令行实用程序可以打印出Keychain Access数据库的内容。
答案 1 :(得分:0)
我相信自从iOS 8.1.3以来,现在无法安装假应用并泄漏钥匙串。 (外部阅读:https://www.fireeye.com/blog/threat-research/2015/06/three_new_masqueatt.html) 此外,您还可以考虑使用TouchID保护的钥匙串,因为它们在我认为的硬件级别受到保护