¿Es necesario que los datos no persistentes se cifren? Si tuviera un proyecto con datos confidenciales almacenados en variables de clase no persistentes, ¿debería hacer algo para proteger estos datos?
Estoy desarrollando para una aplicación iOS.
PCI 6.5S v3 sección 6.5 señala la necesidad de proteger datos confidenciales, incluso si están en la memoria , para ayudar a frustrar ataques de raspado de memoria. Entonces, si espera necesitar el cumplimiento de PCI, sí, debe proteger los datos confidenciales, incluso si están en la memoria.
No sé qué tecnología está utilizando, pero incluso los datos no persistentes pueden quedarse por un tiempo. Por ejemplo, las cadenas en .NET no se destruyen automáticamente cuando desaparecen todas sus referencias. Las cadenas se almacenan en el montón y permanecerán allí hasta que el recolector de basura las elimine.
El cifrado de datos en RAM puede ser complicado ya que ahora necesita proteger la clave de cifrado. Una característica nativa como cadena segura de .NET, o un módulo de seguridad de hardware puede ser útil en tales situaciones.
He visto este hallazgo en las pruebas de penetración.
Lea otras preguntas en las etiquetas encryption data-leakage mobile ios