最近这个黑客被记录在案: Lost iPhone? Lost Passwords!
报纸说:
“在输入密码之前,该技术不会检索存储在设备部分中的密码。但这不包括虚拟专用网络,Wi-Fi网络,LDAP帐户,语音邮件系统和Microsoft Exchange帐户“
我使用SecKeychainAddGenericPassword将密码存储在钥匙串中。 API上的文档说:“此函数设置新钥匙串项目的初始访问权限,以便为创建项目的应用程序提供可信访问权限。”但是文档也说:“iOS只允许应用程序访问自己的钥匙串项。本节中讨论的钥匙串访问控制不适用于iOS。”在定义可信应用程序的部分中。
这篇文章(http://blog.agile.ws/lost-iphone-safe-passwords/)讨论了“iOS保护类”,但我找不到任何详细说明SecKeychainAddGenericPassword使用的保护类的地方。
有人知道SecKeychainAddGenericPassword是否容易受到黑客攻击?
答案 0 :(得分:0)
是的,该攻击发生在SecKeychainAddGenericPassword使用的系统范围的密钥链上。但是,如果内存服务,它只适用于越狱设备,因此对于普通用户,攻击者需要对手机进行物理访问才能先进行越狱。
答案 1 :(得分:0)
我使用来自here的keychain_dumper工具进行了一些测试。它确实要求设备被监禁,但是在没有设备被解锁的情况下无法访问使用SecKeychainAddGenericPassword存储的密码,因此它们不容易受到记录的黑客攻击。