最近工作中完成了項目的用戶信息本地存儲，查閱了一些本地存儲加密方法等相關(guān)資料。期間發(fā)現(xiàn)了一個來自印度理工學院（IIT）的信息安全工程師的個人博客，寫了大量有關(guān)iOS Application security的文章。
　　個人感覺寫的還不錯，實用性比較強，加之閱讀難度不大，于是趁著工作日無聊之際，小翻譯了一篇。
　　 原文IOS Application Security Part 20 – Local Data Storage (NSUserDefaults, CoreData, Sqlite, Plist files)地址http://highaltitudehacks.com/2013/10/26/ios-application-security-part-20-local-data-storage-nsuserdefaults/
真的不難，還是建議大家閱讀原文。OK，廢話不多說。上譯文：

iOS應用安全（20） - 本地數(shù)據(jù)存儲
-2013.10.26
-發(fā)表自Prateek Gianchandani

在這篇文章中，我們將要看看應用中存儲數(shù)據(jù)到本地的一些不同的方法以及這些方法的安全性。
　　
我們將會在一個demo上這些這些測試，你可以從我的github賬號上下載這個例子程序。對于CoreData的例子，你可以從這下載例子程序。本例有一個不同點就是我們將會在模擬器上運行這些應用，而不是在設備上運行。這樣做的目的是為了證明在前面文章中的操作都可以通過Xcode來把這些應用運行在模擬器上。當然，你也可以使用前面文章中的步驟把這應用安裝到設備上。

NSUserDefaults
　　保存用戶信息和屬性的一個非常普通的方法就是使用NSUserDefaults。保存在NSUserDefaults中的信息在你的應用關(guān)閉后再次打開之后依然存在。保存信息到NSUserDefaults的一個例子就是保存用戶是否已登錄的狀態(tài)。我們把用戶的登錄狀態(tài)保存到NSUserDefaults以便用戶關(guān)閉應用再次打開應用的時候，應用能夠從NSUserDefaults獲取數(shù)據(jù)，根據(jù)用戶是否登錄展示不同的界面。有些應用也用這個功能來保存機密數(shù)據(jù)，比如用戶的訪問令牌，以便下次應用登錄的時候，它們能夠使用這個令牌來再次認證用戶。
　　從我的github可以下載例子應用，運行起來。你可以得到下面的界面，現(xiàn)在輸入一些信息到與NSUserDefaults相關(guān)的文本框，然后點擊下面的“Save in NSUserDefaults”。這樣數(shù)據(jù)就保存到NSUserDefaults了。

Plist 文件
　　另一種保存數(shù)據(jù)普遍用的方法就是plist文件。Plist文件應該始終被用來保存那些非機密的文件，因為它們沒有加密，因此即使在非越獄的設備上也非常容易被獲取。已經(jīng)有漏洞被爆出來，大公司把機密數(shù)據(jù)比如訪問令牌，用戶名和密碼保存到plist文件中。在下面的demo中，我們輸入一些信息并保存到plist文件。

NSArray *paths = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory,NSUserDomainMask,YES);
NSString *documentsDirectory = [paths objectAtIndex:0];
NSString *filePath = [documentsDirectory stringByAppendingString:@"/userInfo.plist"];
NSMutableDictionary* plist = [[NSMutableDictionary alloc] init];[plist setValue:self.usernameTextField.text forKey:@"username"];[plist setValue:self.passwordTextField.text forKey:@"passwprd"];[plist writeToFile:filePath atomically:YES];

如你所見，我們能夠給plist文件指定路徑。我們可以搜索整個應用的所有plist文件。在這里，我們找到一個叫做userinfo.plist的文件。

Keychain
　　有些開發(fā)者不太喜歡把數(shù)據(jù)保存到Keychain中，因為實現(xiàn)起來不那么直觀。不過，把信息保存到Keychain中可能是非越獄設備上最安全的一種保存數(shù)據(jù)的方式了。而在越獄設備上，沒有任何事情是安全的。這篇文章展示了使用一個簡單的wrapper類，把數(shù)據(jù)保存到keychain是多么的簡單。使用這個wrapper來保存數(shù)據(jù)到keychain就像把數(shù)據(jù)保存到NSUserDefaults那么簡單。下面就是一段把字符串保存到keychain的代碼。請注意和使用NSUserDefaults的語法非常類似。

PDKeychainBindings *bindings = [PDKeychainBindings sharedKeychainBindings];
[bindings setObject:@"XYZ" forKey:@"authToken"];

下面是一段從keychain中取數(shù)據(jù)的代碼。

PDKeychainBindings *bindings = [PDKeychainBindings sharedKeychainBindings];
NSLog(@"Auth token is %@",[bindings objectForKey:@"authToken"]]);

一些小技巧
　　正如之前討論過的那樣，沒有任何信息在越獄設備上是安全的。攻擊者能夠拿到Plist文件，導出整個keychain，替換方法實現(xiàn)，并且攻擊者能做他想做的任何事情。不過開發(fā)者能夠使用一些小技巧來使得腳本小子從應用獲得信息變得更難。比如把文件加密放到本地設備上。這里這篇文章詳細的討論了這一點?；蛘吣憧梢?strong>使得攻擊者更難理解你的信息。比如考慮要把某個用戶的認證令牌（authentication token）保存到keychain當中，腳本小子可能就會導出keychain中的這個數(shù)據(jù)，然后試圖劫持用戶的會話。我們只需再把這個認證令牌字符串反轉(zhuǎn)一下（reverse），然后再保存到keychain中，那么攻擊者就不太可能會知道認證令牌是反轉(zhuǎn)保存的。當然，攻擊者可以追蹤你的應用的每一個調(diào)用，然后理解到這一點，但是，一個如此簡單的技術(shù)就能夠讓腳本小子猜足夠的時間，以至于他們會開始尋找其它應用的漏洞。另一個簡單技巧就是在每個真正的值保存之前都追加一個常量字符串。
　　在接下來的文章里，我們將討論使用GDB進行運行時分析。

譯　　者：MysticCoder
出　　處：http://www.cnblogs.com/mysticCoder/
關(guān)于作者：專注于iOS項目開發(fā)。如有問題或建議，請多多賜教！
版權(quán)聲明：本文版權(quán)歸作者和博客園共有，歡迎轉(zhuǎn)載，但未經(jīng)作者同意必須保留此段聲明，且在文章頁面明顯位置給出原文鏈接。
特此聲明：所有評論和私信都會在第一時間回復。也歡迎園子的大大們指正錯誤，共同進步?；蛘咧苯铀叫盼?/p>

聲援博主：如果您覺得文章對您有幫助，可以點擊文章右下角【推薦】一下。您的鼓勵是作者堅持原創(chuàng)和持續(xù)寫作的最大動力！