Day-056-iOS 应用安全测试

# Day 54: iOS 应用安全测试

> Web 安全系列第 24 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [iOS 安全测试概述](#ios 安全测试概述)
2. [测试环境搭建](#测试环境搭建)
3. [IPA 文件分析](#ipa 文件分析)
4. [静态分析技术](#静态分析技术)
5. [动态分析技术](#动态分析技术)
6. [越狱检测绕过](#越狱检测绕过)
7. [网络通信测试](#网络通信测试)
8. [数据存储测试](#数据存储测试)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## iOS 安全测试概述

### iOS 安全特点

**沙箱机制**：
```
每个应用运行在独立沙箱：
- 独立文件系统
- 独立 Keychain
- 网络访问限制
- 硬件访问限制

好处：
- 应用隔离
- 数据保护
- 权限控制

限制：
- 需要越狱才能深入测试
- 部分功能无法测试
- 依赖模拟器
```

**代码签名**：
```
要求：
- 所有应用必须签名
- Apple 审核
- 证书验证

影响：
- 无法运行未签名代码
- 需要特殊方式注入
- 测试受限
```

**App Store 审核**：
```
审核内容：
- 功能完整性
- 安全性检查
- 隐私合规
- 内容合规

局限：
- 不保证无漏洞
- 不检查所有代码
- 不测试所有场景
```

### 测试挑战

**越狱需求**：
```
非越狱设备限制：
- 无法访问沙箱外
- 无法 Hook 系统 API
- 无法安装证书
- 无法调试

越狱设备优势：
- 完全访问
- 可 Hook 所有 API
- 可安装证书
- 可调试

越狱风险：
- 设备保修失效
- 安全风险增加
- 稳定性问题
```

**签名限制**：
```
问题：
- 无法运行未签名代码
- 无法注入动态库
- 无法修改应用

解决方案：
- 越狱设备
- 企业证书
- 开发者证书
- 重签名
```

---

## 测试环境搭建

### 测试设备

**物理设备**：
```
推荐设备：
- iPhone 系列
- iPad 系列
- 不同 iOS 版本

要求：
- 可越狱（测试用）
- 开发设备（非越狱）
- 版本覆盖
```

**模拟器**：
```
Xcode Simulator:
- 免费
- 易于使用
- 版本齐全

局限：
- 架构不同（x86 vs ARM）
- 无法测试某些功能
- 无法越狱
```

### 测试工具

**反编译工具**：
```bash
# class-dump
brew install class-dump
class-dump -H app > headers.txt

# Hopper
# 商业反汇编器
# 支持 iOS

# IDA Pro
# 专业反汇编器
# 支持 iOS
```

**动态分析工具**：
```bash
# Frida
pip install frida-tools
frida -U -f com.example.app -l hook.js

# Objection
pip install objection
objection explore

# Cycript
# iOS 专用
# 运行时修改
```

**网络测试工具**：
```bash
# Burp Suite
# 配置代理
# 抓包分析

# Charles Proxy
# macOS 原生
# iOS 友好

# mitmproxy
# 命令行
# 脚本扩展
```

### 越狱与调试

**越狱工具**：
```
Checkra1n:
- 支持 A5-A11
- iOS 12-14
- 永久越狱

Unc0ver:
- 支持 A12-A14
- iOS 11-14
- 可恢复

Palera1n:
- 支持 A8-A11
- iOS 15+
- 永久越狱
```

**调试配置**：
```
1. 安装 OpenSSH
   - Cydia 安装
   - 默认密码 alpine

2. 配置代理
   - WiFi → 代理
   - 手动配置
   - 安装证书

3. 安装 Frida
   - Cydia 源
   - apt install frida
```

---

## IPA 文件分析

### IPA 结构

**文件结构**：
```
app.ipa
├── Payload/
│   └── app.app/
│       ├── app              # 主二进制
│       ├── Info.plist       # 应用信息
│       ├── embedded.mobileprovision  # 描述文件
│       ├── Frameworks/      # 框架
│       └── PlugIns/         # 插件
├── iTunesArtwork
└── iTunesMetadata.plist
```

**解包 IPA**：
```bash
# 解压 IPA
unzip app.ipa

# 查看 Info.plist
cat Payload/app.app/Info.plist

# 查看描述文件
security cms -D -i Payload/app.app/embedded.mobileprovision
```

### Info.plist 分析

**关键配置**：
```xml

<key>NSAllowsArbitraryLoads</key>
<true/>

<key>UIFileSharingEnabled</key>
<true/>

<key>LSApplicationQueriesSchemes</key>
<array>
    <string>http</string>
    <string>https</string>
</array>

<key>NSCameraUsageDescription</key>
<string>需要访问相机</string>
```

**安全检查**：
```
检查项：
1. ATS 配置
   - NSAllowsArbitraryLoads
   - 例外域名
   - 最低 TLS 版本

2. 权限描述
   - 是否必要
   - 描述准确
   - 过度权限

3. 外部链接
   - URL Scheme
   - Universal Links
   - 白名单
```

### 二进制分析

** Mach-O 分析**：
```bash
# 查看架构
lipo -info app

# 查看加载命令
otool -l app

# 查看符号
nm app

# 查看字符串
strings app | grep -i "key\|secret\|password"
```

**加密检查**：
```bash
# 检查加密
otool -l app | grep crypt

# 输出：
# cryptoff: 偏移
# cryptsize: 大小
# cryptid: 1(加密) 0(未加密)
```

**脱壳**：
```bash
# 使用 frida-ios-dump
# 需要越狱设备

# 使用 dumpdecrypted
# 需要动态库注入
```

---

## 静态分析技术

### 代码反编译

**class-dump**：
```bash
# 导出头文件
class-dump -H app > headers.txt

# 搜索敏感类
grep -i "auth\|login\|crypto" headers.txt

# 查看方法
grep -A 5 "- (void)login" headers.txt
```

**Hopper 反编译**：
```
功能：
- 反汇编
- 反编译
- 伪代码生成

使用：
1. 打开二进制
2. 分析函数
3. 查看伪代码
4. 搜索字符串
```

**IDA Pro 分析**：
```
功能：
- 专业反汇编
- 交互式分析
- 脚本扩展

使用：
1. 加载二进制
2. 自动分析
3. 重命名函数
4. 添加注释
```

### 代码审计

**硬编码密钥**：
```bash
# 搜索密钥
strings app | grep -E "key|secret|token|password"

# 搜索 Base64
strings app | base64 -d 2>/dev/null

# 搜索 URL
strings app | grep -E "http://|https://"
```

**加密实现**：
```
检查项：
1. 加密算法
   - 是否使用强算法
   - 是否使用系统 API
   - 是否自定义实现

2. 密钥管理
   - 密钥存储位置
   - 密钥生成方式
   - 密钥轮换机制

3. 加密模式
   - ECB（不安全）
   - CBC（需要 IV）
   - GCM（推荐）
```

**不安全 API**：
```
危险 API：
- gets()
- strcpy()
- sprintf()
- system()

安全替代：
- fgets()
- strncpy()
- snprintf()
- posix_spawn()
```

### 自动化扫描

**MobSF 扫描**：
```bash
# Docker 部署
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf

# 上传 IPA
# 自动分析
# 查看报告
```

**iVerify**：
```
功能：
- iOS 安全扫描
- 配置检查
- 代码审计

使用：
1. 上传 IPA
2. 自动扫描
3. 查看报告
```

---

## 动态分析技术

### Frida Hook

**基本 Hook**：
```javascript
// Hook 方法
Interceptor.attach(Module.findExportByName("libSystem.B.dylib", "open"), {
    onEnter: function(args) {
        console.log("open: " + args[0].readUtf8String());
    }
});

// Hook Objective-C 方法
var className = "LoginViewController";
var methodName = "- login:password:";

Interceptor.attach(ObjC.classes[className][methodName].implementation, {
    onEnter: function(args) {
        console.log("Login called");
        console.log("Username: " + ObjC.Object(args[2]).toString());
        console.log("Password: " + ObjC.Object(args[3]).toString());
    }
});
```

**参数修改**：
```javascript
// 修改返回值
var className = "AuthManager";
var methodName = "- isAuthenticated";

Interceptor.attach(ObjC.classes[className][methodName].implementation, {
    onEnter: function(args) {
    },
    onLeave: function(retval) {
        console.log("Changing return value to true");
        return ptr(1);
    }
});
```

**加密函数 Hook**：
```javascript
// Hook CCCrypt (CommonCrypto)
var CCCrypt = Module.findExportByName("libSystem.B.dylib", "CCCrypt");

Interceptor.attach(CCCrypt, {
    onEnter: function(args) {
        console.log("CCCrypt called");
        console.log("Operation: " + args[0].toInt32());
        console.log("Key: " + args[2].readUtf8String());
    }
});
```

### Objection 使用

**基本使用**：
```bash
# 启动探索模式
objection explore

# 常用命令
ios info                    # 应用信息
ios keychain list           # Keychain 列表
ios nsurlcredentialstorage list  # 凭证存储
ios ssl pinning disable     # 禁用 SSL Pinning
ios jailbreak disable       # 禁用越狱检测
```

**内存搜索**：
```bash
# 搜索字符串
memory search "password"

# 搜索类实例
ios heap search className

# 执行方法
ios hooking list class_methods className
```

### 运行时修改

**Cycript**：
```javascript
// 连接应用
cycript -p com.example.app

// 查看类
? className

// 调用方法
? [className methodName]

// 修改属性
? className.property = value
```

**Theos 注入**：
```bash
# 创建 Tweak
theos/bin/nic.pl

# 编译
make package

# 安装
make install
```

---

## 越狱检测绕过

### 常见检测方法

**文件检测**：
```
检测文件：
- /Applications/Cydia.app
- /Library/MobileSubstrate/MobileSubstrate.dylib
- /bin/bash
- /usr/sbin/sshd

绕过：
- 隐藏文件
- 修改路径
- Hook 检测函数
```

**进程检测**：
```
检测进程：
- Cydia
- sshd
- apt

绕过：
- 隐藏进程
- Hook 进程列表
```

**URL Scheme 检测**：
```
检测 Scheme：
- cydia://
- installer://

绕过：
- 移除 Scheme
- Hook canOpenURL
```

### Frida 绕过

**文件检测绕过**：
```javascript
// Hook fileExistsAtPath
var fileExists = Module.findExportByName("libSystem.B.dylib", "stat");

Interceptor.attach(fileExists, {
    onEnter: function(args) {
        var path = args[0].readUtf8String();
        if (path.includes("Cydia") || path.includes("MobileSubstrate")) {
            console.log("Blocking file check: " + path);
            this.shouldBlock = true;
        }
    },
    onLeave: function(retval) {
        if (this.shouldBlock) {
            retval.replace(-1);
        }
    }
});
```

**进程检测绕过**：
```javascript
// Hook fork
var fork = Module.findExportByName("libSystem.B.dylib", "fork");

Interceptor.attach(fork, {
    onEnter: function(args) {
    },
    onLeave: function(retval) {
        // 修改返回值
    }
});
```

**URL Scheme 绕过**：
```javascript
// Hook canOpenURL
var canOpenURL = ObjC.classes.UIApplication["- canOpenURL:"];

Interceptor.attach(canOpenURL.implementation, {
    onEnter: function(args) {
        var url = ObjC.Object(args[2]).toString();
        if (url.includes("cydia")) {
            console.log("Blocking URL Scheme: " + url);
            this.shouldBlock = true;
        }
    },
    onLeave: function(retval) {
        if (this.shouldBlock) {
            retval.replace(ptr(0));
        }
    }
});
```

### 工具绕过

**Frida 脚本**：
```bash
# 使用现成脚本
frida -U -f com.example.app -l jailbreak_bypass.js

# 使用 Objection
objection explore
ios jailbreak disable
```

**Tweak**：
```
推荐 Tweak：
- Shadow
- A-Bypass
- JailbreakProtect

安装：
- Cydia 源
- 手动安装
```

---

## 网络通信测试

### 抓包配置

**证书安装**：
```
1. 导出 Burp 证书
2. 转换为 DER
3. 通过 iTunes 安装
4. 信任证书

或使用：
- Frida 脚本绕过
- 越狱安装系统证书
```

**SSL Pinning 绕过**：
```javascript
// 通用 SSL Pinning 绕过
var SSLSetSessionOption = Module.findExportByName("Security", "SSLSetSessionOption");

Interceptor.attach(SSLSetSessionOption, {
    onEnter: function(args) {
        console.log("SSL Pinning bypassed");
    }
});

// 或使用 Objection
objection explore
ios ssl pinning disable
```

### API 测试

**请求篡改**：
```
测试点：
1. 参数修改
   - 金额
   - 数量
   - 用户 ID

2. Token 测试
   - 移除 Token
   - 修改 Token
   - 过期 Token

3. 未授权访问
   - 越权访问
   - 水平越权
   - 垂直越权
```

**响应篡改**：
```
测试点：
1. 修改响应
   - 状态码
   - 数据内容
   - 注入内容

2. 客户端验证
   - 响应签名
   - 数据校验
   - 完整性检查
```

### Keychain 测试

**数据提取**：
```bash
# 使用 Keychain-Dumper
# 需要越狱

# 使用 Frida
frida -U -f com.example.app -l keychain_dump.js
```

**安全检查**：
```
检查项：
1. 明文存储
   - 凭证明文
   - Token 明文
   - 敏感数据明文

2. 访问控制
   - kSecAttrAccessible
   - 访问级别
   - 设备绑定

3. 同步设置
   - iCloud 同步
   - 跨设备访问
```

---

## 数据存储测试

### 文件存储测试

**数据提取**：
```bash
# 越狱设备
ssh root@device
cd /var/mobile/Containers/Data/Application/
ls

# 非越狱设备（备份）
# 使用 iMazing
# 提取应用数据
```

**安全检查**：
```
检查项：
1. 敏感文件
   - 密钥文件
   - 配置文件
   - 日志文件

2. 文件权限
   - 可读可写
   - 其他应用访问

3. 备份保护
   - 排除备份
   - 加密备份
```

### UserDefaults 测试

**数据提取**：
```bash
# 提取 plist
cd ~/Library/Developer/CoreSimulator/Devices/
find . -name "*.plist"

# 查看内容
plutil -p com.example.app.plist
```

**安全检查**：
```
检查项：
1. 明文存储
   - 敏感数据明文
   - 凭证明文
   - Token 明文

2. 备份泄露
   - 包含在备份中
   - 可提取
```

### CoreData/SQLite 测试

**数据提取**：
```bash
# 提取数据库
find . -name "*.sqlite"

# 查看内容
sqlite3 app.sqlite
.tables
SELECT * FROM users;
```

**安全检查**：
```
检查项：
1. SQL 注入
   - 拼接查询
   - 未参数化

2. 明文存储
   - 敏感数据未加密
   - 密码明文

3. 备份泄露
   - 数据库可备份
   - 未加密
```

---

## 防护策略与最佳实践

### 开发安全

**代码安全**：
```
1. 不硬编码密钥
   - 使用 Keychain
   - 动态获取
   - 安全存储

2. 使用强加密
   - CommonCrypto
   - Security Framework
   - 正确实现

3. 安全通信
   - ATS 强制 HTTPS
   - 证书绑定
   - 请求签名
```

**组件安全**：
```
1. URL Scheme
   - 验证来源
   - 权限检查
   - 数据验证

2. Universal Links
   - 域名验证
   - 签名验证
   - 来源检查

3. App Groups
   - 限制访问
   - 加密数据
   - 权限控制
```

### 发布安全

**代码混淆**：
```
工具：
- Obfuscator-LLVM
- iXGuard
- 商业混淆器

技术：
- 控制流混淆
- 字符串加密
- 符号重命名
```

**防逆向**：
```
1. 代码保护
   - 代码混淆
   - 虚拟机保护
   - 反调试

2. 运行环境保护
   - 越狱检测
   - 调试器检测
   - 模拟器检测

3. 完整性检查
   - 签名验证
   - 文件校验
   - 运行时检查
```

### 测试建议

**定期测试**：
```
1. 版本发布前
   - 全面测试
   - 渗透测试
   - 代码审计

2. 定期测试
   - 每季度测试
   - 年度审计
   - 第三方测试

3. 事件响应
   - 漏洞报告
   - 应急响应
   - 修复验证
```

---

## 总结与思考

### 核心要点回顾

1. **测试方法**
   - 静态分析
   - 动态分析
   - 逆向工程

2. **常见漏洞**
   - 不安全存储
   - 不安全通信
   - 越狱检测绕过
   - 硬编码密钥

3. **防护策略**
   - 安全开发
   - 代码保护
   - 定期测试

### 深入思考问题

1. **隐私与安全的平衡**？
   - 数据收集
   - 用户同意
   - 合规要求

2. **自动化测试**？
   - 测试覆盖
   - 误报处理
   - 持续集成

3. **新兴技术影响**？
   - Swift 安全
   - SwiftUI
   - ARKit 安全

### 实战建议

**测试人员**：
1. 搭建测试环境
2. 掌握测试工具
3. 学习逆向技术
4. 持续学习

**开发人员**：
1. 安全编码
2. 使用安全 API
3. 代码保护
4. 安全测试

**管理层**：
1. 安全预算
2. 安全培训
3. 合规要求
4. 应急响应

---

## 参考资料

### 学习资源
- [OWASP MSTG](https://owasp.org/www-project-mobile-security-testing-guide/)
- [iOS Security](https://www.apple.com/business/docs/iOS_Security_Guide.pdf)
- [Frida Documentation](https://frida.re/docs/)

### 工具资源
- [Frida](https://frida.re/)
- [Objection](https://github.com/sensepost/objection)
- [class-dump](http://www.stevegraf.com/class-dump/)
- [Hopper](https://www.hopperapp.com/)

### 书籍推荐
- 《iOS 安全剖析》
- 《移动安全攻防实战》
- 《iOS 逆向工程》

---

**标记 明日预告**：Day 55 - 移动应用综合实战

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 54 篇，Web 安全部分第 24 篇，精编版本*