Cómo mitigar la omisión de SSL en iOS

3

Estoy intentando mitigar la omisión de SSL en un iOS con jailbreak. No puedo encontrar un buen trabajo alrededor como Mobile Substrate y SSL kill switch pueden omitir SSL.

He intentado dos cosas:

  • Fijación SSL
  • Detectar jailbreak y detener la aplicación

Ambos pueden ser rajados. Mi aplicación maneja datos confidenciales, por lo que es necesario protegerlos del interruptor de supresión SSL y del sustrato móvil.

Editar: Gracias a todos por sus maravillosas respuestas. Recientemente encontré un proyecto de seguridad OWASP , que contiene los principales riesgos que los desarrolladores ignoran durante las fases de desarrollo. Así que mi lista de verificación se hizo mucho más grande:

También tienen una hoja de trucos para pruebas de seguridad de iOS . Por lo tanto, tomar todas las medidas de seguridad es un dolor de cabeza y no creo que mi empleador esté listo para hacerlo, ya que es un esfuerzo que consume mucho tiempo. Así que de la lista que estoy eligiendo:

  • Asegurando el almacenamiento de datos
  • TLS (Autorización y autenticación, es decir, SSL de 2 vías)
  • protección binaria

¿Alguna opinión a este respecto como si asegurar estos 3 sea suficiente? También la aplicación en la que estoy trabajando es una aplicación de banca electrónica si alguien está redactando.

    
pregunta Mohsin Khan 15.09.2015 - 12:29
fuente

2 respuestas

17
  

Estoy intentando mitigar la omisión de SSL en un iOS con jailbreak. ... Mi aplicación maneja datos confidenciales, por lo que es necesario protegerlos del conmutador de muerte SSL y del sustrato móvil.

No hay nada que mitigar aquí. SSL solo se usa para la seguridad a nivel de transporte, es decir, para proteger todo entre el cliente y el servidor. No se utiliza para proteger los datos en el cliente o los datos en el propio servidor. E incluso con un dispositivo con jailbreak, el transporte sigue siendo seguro, es decir, ningún hombre en el medio puede leer los datos a menos que el propietario del dispositivo lo haya hecho explícitamente cambiando su aplicación o instalando otra CA de confianza.

Si envía datos a un dispositivo que está fuera de su control, debe esperar que el propietario actual del dispositivo pueda leer y manipular los datos. Por lo tanto, no debe enviar ningún dato al dispositivo que el usuario no debe ver y no debe esperar que los datos que reciba sean inofensivos.

    
respondido por el Steffen Ullrich 15.09.2015 - 13:04
fuente
5

Si el dispositivo tiene jailbreak, entonces ya has perdido. No puedes confiar en un sistema con jailbreak.

Puedes hacer un esfuerzo para detectar el jailbreak y luego negarte a correr. Pero ninguno de estos métodos de detección son infalibles. Porque, bueno, no puedes confiar en un sistema con jailbreak.

Lecturas adicionales: preguntas sobre (detectar) Jailbreaks :

respondido por el StackzOfZtuff 15.09.2015 - 12:48
fuente

Lea otras preguntas en las etiquetas