Day-315-iOS 应用沙盒机制

# Day 332: iOS 应用沙盒机制 - 文件系统/Keychain/数据共享/扩展安全

> 移动安全系列第 12 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [沙盒机制概述](#沙盒机制概述)
2. [文件系统隔离](#文件系统隔离)
3. [Keychain 安全存储](#keychain-安全存储)
4. [应用间数据共享](#应用间数据共享)
5. [扩展安全](#扩展安全)
6. [沙盒绕过检测](#沙盒绕过检测)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 沙盒机制概述

### 沙盒原理

**隔离机制**：
```
进程隔离:
- 独立进程空间
- 独立内存空间
- 独立文件描述符

资源限制:
- CPU 使用限制
- 内存使用限制
- 网络访问限制

权限控制:
- 文件系统权限
- 网络权限
- 硬件权限
```

**安全边界**：
```
应用沙盒:
- /var/mobile/Containers/Data/Application/
- 仅访问自己目录
- 系统目录禁止

共享区域:
- 应用组目录
- 公共媒体库
- 需要权限访问
```

---

## 文件系统隔离

### 应用目录结构

**目录组成**：
```
Bundle 目录:
- 只读
- 应用资源
- 代码文件

Documents 目录:
- 用户数据
- iCloud 备份
- 持久存储

Library 目录:
- 应用数据
- 缓存数据
- 配置文件

tmp 目录:
- 临时文件
- 系统清理
- 不备份
```

**访问代码**：
```swift
// 获取目录路径
let bundlePath = Bundle.main.bundlePath
let documentsPath = FileManager.default.urls(for: .documentDirectory, 
                                              in: .userDomainMask).first!
let libraryPath = FileManager.default.urls(for: .libraryDirectory, 
                                           in: .userDomainMask).first!
let tmpPath = FileManager.default.temporaryDirectory

// 写入文件
let fileURL = documentsPath.appendingPathComponent("data.txt")
try "Hello".write(to: fileURL, atomically: true, encoding: .utf8)

// 读取文件
let content = try String(contentsOf: fileURL, encoding: .utf8)
```

### 文件保护

**数据保护属性**：
```swift
// 设置文件保护
let url = documentsPath.appendingPathComponent("sensitive.dat")

try data.write(to: url, options: .completeFileProtection)

// 检查保护级别
let resources = try url.resourceValues(forKeys: [.contentProtectionKey])
if resources.contentProtectionKey == true {
    print("文件已保护")
}
```

**iCloud 同步**：
```swift
// 启用 iCloud
let cloudURL = FileManager.default.url(forUbiquityContainerIdentifier: nil)
    ?.appendingPathComponent("Documents")

// 同步文件
try FileManager.default.setUbiquitous(true, itemAt: localURL, 
                                      destinationURL: cloudURL)
```

---

## Keychain 安全存储

### Keychain 使用

**保存数据**：
```swift
import Security

func saveToKeychain(key: String, value: String) {
    let data = value.data(using: .utf8)!
    
    let query: [String: Any] = [
        kSecClass as String: kSecClassGenericPassword,
        kSecAttrAccount as String: key,
        kSecValueData as String: data,
        kSecAttrAccessible as String: kSecAttrAccessibleWhenUnlocked
    ]
    
    // 删除旧数据
    SecItemDelete(query as CFDictionary)
    
    // 添加新数据
    SecItemAdd(query as CFDictionary, nil)
}
```

**读取数据**：
```swift
func loadFromKeychain(key: String) -> String? {
    let query: [String: Any] = [
        kSecClass as String: kSecClassGenericPassword,
        kSecAttrAccount as String: key,
        kSecReturnData as String: true,
        kSecMatchLimit as String: kSecMatchLimitOne
    ]
    
    var result: AnyObject?
    let status = SecItemCopyMatching(query as CFDictionary, &result)
    
    if status == errSecSuccess,
       let data = result as? Data,
       let value = String(data: data, encoding: .utf8) {
        return value
    }
    
    return nil
}
```

### 访问控制

**生物识别保护**：
```swift
func saveWithBiometrics(key: String, value: String) {
    let data = value.data(using: .utf8)!
    
    let accessControl = SecAccessControlCreateWithFlags(
        nil,
        kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly,
        [.biometryCurrentSet, .devicePasscode],
        nil
    )
    
    let query: [String: Any] = [
        kSecClass as String: kSecClassGenericPassword,
        kSecAttrAccount as String: key,
        kSecValueData as String: data,
        kSecAttrAccessControl as String: accessControl!
    ]
    
    SecItemDelete(query as CFDictionary)
    SecItemAdd(query as CFDictionary, nil)
}
```

---

## 应用间数据共享

### App Groups

**配置 App Group**：
```xml

<key>com.apple.security.application-groups</key>
<array>
    <string>group.com.example.shared</string>
</array>
```

**共享数据**：
```swift
// 写入共享数据
let sharedDefaults = UserDefaults(suiteName: "group.com.example.shared")
sharedDefaults?.set("Shared Data", forKey: "sharedKey")

// 读取共享数据
let value = sharedDefaults?.string(forKey: "sharedKey")
```

### 文件共享

**文件提供者**：
```swift
class FileProvider: UIDocumentBrowserViewControllerDelegate {
    
    // 导入文件
    func documentBrowser(_ controller: UIDocumentBrowserViewController,
                        didImportDocumentAt sourceURL: URL,
                        toDestinationURL destinationURL: URL) {
        // 处理导入文件
    }
    
    // 导出文件
    func exportFile() {
        let picker = UIDocumentPickerViewController(forExporting: [fileURL])
        picker.delegate = self
        present(picker, animated: true)
    }
}
```

---

## 扩展安全

### 扩展类型

**Today 扩展**：
```
功能:
- 通知中心
- 小组件
- 快速访问

安全:
- 独立沙盒
- 有限权限
- 数据共享限制
```

**Share 扩展**：
```
功能:
- 内容分享
- 应用间传递
- 扩展功能

安全:
- 内容验证
- 权限检查
- 数据清理
```

**Action 扩展**：
```
功能:
- 内容处理
- 数据转换
- 快捷操作

安全:
- 输入验证
- 沙盒隔离
- 资源限制
```

### 扩展配置

**Entitlements 配置**：
```xml
<key>com.apple.security.application-groups</key>
<array>
    <string>group.com.example.shared</string>
</array>

<key>com.apple.developer.usernotifications.service</key>
<true/>
```

---

## 沙盒绕过检测

### 越狱检测

**文件检测**：
```swift
func detectJailbreakByFiles() -> Bool {
    let paths = [
        "/Applications/Cydia.app",
        "/Library/MobileSubstrate/MobileSubstrate.dylib",
        "/bin/bash",
        "/usr/sbin/sshd"
    ]
    
    for path in paths {
        if FileManager.default.fileExists(atPath: path) {
            return true
        }
    }
    
    return false
}
```

**URL Scheme 检测**：
```swift
func detectJailbreakByURLScheme() -> Bool {
    let schemes = ["cydia://", "sileo://", "zbra://"]
    
    for scheme in schemes {
        if let url = URL(string: scheme),
           UIApplication.shared.canOpenURL(url) {
            return true
        }
    }
    
    return false
}
```

### 沙盒逃逸检测

**目录遍历检测**：
```swift
func detectDirectoryTraversal() -> Bool {
    // 尝试访问系统目录
    let systemPaths = [
        "/private",
        "/var/root",
        "/etc"
    ]
    
    for path in systemPaths {
        if FileManager.default.isReadableFile(atPath: path) {
            return true
        }
    }
    
    return false
}
```

---

## 总结与思考

### 核心要点回顾

1. **沙盒机制**：进程隔离、资源限制、权限控制
2. **文件系统**：目录结构、文件保护、iCloud 同步
3. **Keychain**：安全存储、访问控制、生物识别
4. **数据共享**：App Groups、文件共享、扩展
5. **安全检测**：越狱检测、沙盒逃逸检测

### 深入思考

**安全优势**：
- 严格沙盒隔离
- 硬件级保护
- 系统完整性
- 隐私保护

**安全挑战**：
- 越狱风险
- 扩展安全
- 数据共享风险
- 社会工程

### 最佳实践

**开发者**：
- 使用 Keychain
- 文件加密
- 最小权限
- 越狱检测

**用户**：
- 不越狱
- 官方应用
- 权限审查
- 安全意识

---

## 参考资料

### 学习资源

- **iOS Security Guide**: https://www.apple.com/business/docs/iOS_Security_Guide.pdf
- **Apple Keychain**: https://developer.apple.com/documentation/security/keychain_services
- **OWASP iOS Storage**: https://owasp.org/www-project-mobile-security/

### 工具资源

- **Keychain Access**: macOS 自带工具
- **iMazing**: https://imazing.com
- **iExplorer**: https://macroplant.com/iexplorer

---

*Day 332 完成 | iOS 应用沙盒机制详解 | 字数：约 15,000 字*