致力于安全对于任何项目都至关重要。目前正在寻找将第三方 SDK 集成到我的 iOS 应用程序中。但在此之前,我想彻底分析和审查 SDK。
一些检查点是 -
- 粘贴板分析
- Apple 禁止使用私有(private) API,例如
CTTelephonyNetworkInfo
- 数据库加密(如果有由 SDK 创建的)
我在这里寻找的答案是我可以实现上述目标的方式以及我应该寻找的任何其他东西。
我知道这个问题听起来可能与主题无关,或者更像是一个讨论,但这样的 list 对所有开发人员来说都非常重要。
Best Answer-推荐答案 strong>
所以我可以检查一个简单的 list 。但是,我相信这个答案会很快过时。我还是会分享我应该分享的。
- 粘贴板分析 - 检查 SDK 是否复制了任何内容
公共(public)粘贴板。由于这是在所有应用程序之间共享的,因此它可以
导致漏洞。
- 持久性数据 - 将 SDK 添加到应用并检查它是否创建了任何
像 .sqlite 文件这样的持久存储。检查此文件的内容
了解正在存储的内容以及这些信息是否
以任何方式敏感。
- UserPreferences - NSUserPreferences 可以广泛用于任何
SDK,这反而会导致数据被存储为简单的文本
格式。
- 私有(private) API 使用 - SDK 可以借助 NSClassFromString 和 NSSelectorFromString 等方法使用私有(private) iOS API。 Apple 禁止使用此类 API,并可能导致审核被拒绝。
可以密切关注以下post .这将有助于了解如何进行类转储。检查硬编码字符串。 Hopper Disassembler的特殊用法结果对我有帮助。
关于ios - 在第三方 SDK 集成之前需要考虑哪些安全参数,我们在Stack Overflow上找到一个类似的问题:
https://stackoverflow.com/questions/52418049/
|