如何确保iOS应用的完整性？

Question

我要求必须检查我的Swift iOS应用程序的签名。 我认为这仅与越狱设备有关，因为iOS会自行检查完整性。

我在网上找不到太多-大多数图书馆/摘要都已经5年没有更新了。 我当前的方法是计算应用程序签名（C代码），并将其与从服务器加载的一系列签名进行比较。一个数组，因为它支持该应用程序的多个版本。

对这种方法有任何想法或意见吗？也许与Swift不再相关了？

以下一些资源可以激发我的解决方案：

• https://github.com/olxios/SmartSec_iOS_Security
• https://github.com/project-imas/encrypted_code_modules/blob/master/ecm_app_integrity_check/ecm_app_integrity_check/app_integrity_check.m

Answer 1

您当前的方法

  

我当前的方法是计算应用程序签名（C代码），并将其与从服务器加载的一系列签名进行比较。

我需要提醒您以下事实：攻击者可以在植根电话中在运行时拦截您的代码并修改其行为，这意味着您可以检测到签名的逻辑将始终返回{{ 1}}。他们使用Frida之类的自省框架来做到这一点：

  

将您自己的脚本注入黑盒进程。挂钩任何功能，监视加密API或跟踪私有应用程序代码，不需要任何源代码。编辑，点击保存，立即查看结果。全部没有编译步骤或程序重新启动。

您的要求

  

我要求必须检查我的Swift iOS应用程序的签名。我认为这仅与越狱设备有关，因为iOS会自行检查完整性。

如果此要求只是为了保护您的应用程序免于在有根设备上运行，请检查应用程序的签名是不够的，一旦该设备获得了根目录，就可以轻松地操纵它上的任何应用程序，就像我已经说过的那样提到。保护应用程序免受设备本身的攻击是一项艰巨的任务，就像通过尝试保持领先地位，与攻击者玩猫猫游戏一样。您将需要在应用程序保护中使用，以检测应用程序是否在越狱设备中运行，是否已安装了自省框架，是否正在模拟器中运行，是否已连接调试器等。这是一个永无止境的游戏，攻击者和他们具有巨大的优势，他们可以花所有的资源和时间来破坏您的应用程序（如果对他们而言值得），但是您可能没有相同的人力资源，时间和金钱来投资该游戏。无论您决定如何玩游戏，都可以始终使用Apple Device Check API在API服务器中标记特定设备不可靠。

如果检查iOS应用程序签名的要求更符合保护API服务器免受来自不是您上传到Apple Store的正版应用程序的iOS应用程序的请求的要求，那么可能会有更好的解决方案，并以移动APP证明的名称而闻名。因此，如果这也在您的要求范围内，则应继续阅读，否则请跳过。

在深入探讨移动APP认证概念之前，我想先消除对 WHO 和 What 正在访问API服务器的误解。

WHO和访问API服务器之间的区别

为了更好地了解 WHO 和 What 在访问API服务器之间的区别，让我们使用以下图片：

因此，将移动应用替换为网络应用，并继续按照我对此类图片的类比。

预期的通信渠道表示合法用户在没有任何恶意意图的情况下按预期使用的Web应用程序，通过浏览器与API服务器进行通信，而不使用Postman或使用任何其他工具来执行中间操作（MitM）攻击。

实际频道可能代表几种不同的情况，例如具有恶意意图的合法用户可能正在使用Curl或Postman等工具来执行请求，黑客使用MitM攻击工具（例如MitmProxy）来了解通信方式为了能够重播请求甚至自动对API服务器进行攻击，Web应用程序和API服务器之间的连接已完成。可能还有许多其他情况，但是我们在这里不逐一列举。

我希望到现在为止您可能已经知道为什么 WHO 和 What 不同的地方，但是如果不一样的话，一会儿就会明白。

WHO 是Web应用程序的用户，我们可以通过多种方式（例如使用OpenID Connect或OAUTH2流）进行身份验证，授权和标识。

  

OAUTH

     

通常，OAuth代表资源所有者向客户端提供对服务器资源的“安全委派访问”。它为资源所有者指定了一个在不共享凭据的情况下授权第三方访问其服务器资源的过程。 OAuth专为与超文本传输​​协议（HTTP）配合使用而设计，实质上允许在资源所有者的批准下，授权服务器将访问令牌发布给第三方客户端。然后，第三方使用访问令牌访问资源服务器托管的受保护资源。

     

OpenID Connect

     

OpenID Connect 1.0是OAuth 2.0协议之上的简单身份层。它允许客户端根据授权服务器执行的身份验证来验证最终用户的身份，并以可互操作且类似于REST的方式获取有关最终​​用户的基本配置文件信息。

尽管用户身份验证可能会让API服务器知道 WHO 正在使用API​​，但不能保证请求源自您期望的 What ，而浏览器就是您的网络应用程序应使用真实用户运行。

现在，我们需要一种方法来识别正在调用的API服务器，这使得事情变得比大多数开发人员想象的要棘手。 内容是向API服务器发出请求的内容。它是Web应用程序的真正实例，还是使用诸如Postman之类的工具通过API服务器手动访问的机器人，自动脚本或攻击者？

让您感到惊讶的是，您可能最终发现它可能是手动处理请求的合法用户之一，或者是试图游戏化并利用Web应用程序提供的服务的自动脚本。

好吧，为了确定内容，开发人员倾向于求助于通常在Web应用程序标头中发送的API密钥。一些开发人员会加倍努力，并在运行时在混淆的javascript内的web应用程序中计算密钥，因此它成为运行时的秘密，可以通过除臭工具以及检查Web应用程序与API之间的流量进行逆向工程F12或MitM工具的服务器。

以上文章摘录自我写的一篇文章，题为《 为什么您的移动应用程序需要API密钥？”。在移动应用程序的上下文中，总体思想在Web应用程序的上下文中仍然有效。您希望可以阅读完整的here文章，这是有关API密钥的一系列文章中的第一篇。

移动应用证明

使用移动应用证明解决方案将使API服务器能够知道什么正在发送请求，从而仅响应来自真实移动应用的请求，而拒绝来自不安全应用的所有其他请求来源。

移动应用程序认证解决方案的作用是确保在运行时您的移动应用程序未被篡改，不在有根设备中运行，没有被Frida之类的框架检测，未被MitM攻击以及这是通过在后台运行SDK来实现的。在云中运行的服务将对应用程序构成挑战，并基于响应将证明移动应用程序和设备正在运行的完整性，因此，SDK将不再负责任何决定。

MiTM Proxy

  

面向渗透测试人员和软件开发人员的交互式TLS拦截HTTP代理。

在成功证明移动应用程序完整性之后，将发布并使用一个秘密的短期生存JWT令牌进行签名，该秘密只有云中的API服务器和移动应用程序证明服务可以识别。如果移动应用程序证明失败，则会使用API​​服务器不知道的秘密对JWT令牌进行签名。

现在，应用程序必须随每个API一起发送，并在请求的标头中调用JWT令牌。这将允许API服务器仅在可以验证JWT令牌中的签名和到期时间时才处理请求，而在验证失败时拒绝它们。

一旦移动应用程序不知道移动应用程序证明服务使用的机密，即使在应用程序被篡改，在有根设备上运行或通过连接进行通信时，也无法在运行时对其进行反向工程成为中间攻击中一名男子的目标。

移动应用证明服务已经作为Approov的SAAS解决方案存在（我在这里工作），该服务为多个平台（包括iOS，Android，React Native等）提供SDK。集成还需要在API服务器代码中进行少量检查，以验证由云服务发出的JWT令牌。对于API服务器来说，必须进行此检查才能决定要处理的请求和拒绝的请求。

摘要

最后，必须根据要保护的内容的价值以及此类数据的法律要求（例如欧洲的GDPR法规）来选择用于保护API服务器的解决方案。

走额外的里程

OWASP Mobile Security Project - Top 10 risks

  

OWASP移动安全项目是一个集中式资源，旨在为开发人员和安全团队提供构建和维护安全移动应用程序所需的资源。通过该项目，我们的目标是对移动安全风险进行分类并提供开发控制措施，以减少其影响或被利用的可能性。