我们希望在iPhone上使用证书来进行MS Exchange同步的身份验证。我们不确定安全概念是如何实现来保护这些证书的。
例如,如果没有启用屏幕锁定(或者使用越狱的iPhone),是否可能在iPhone上获得完整的钥匙串访问权限?
有人有相关链接吗?
例如,如果没有启用屏幕锁定(或者使用越狱的iPhone),是否可能在iPhone上获得完整的钥匙串访问权限?
有人有相关链接吗?
Fraunhofer对iOS钥匙串安全性的研究:
苹果公司WWDC 2010,Core OS,Session 209“保护应用程序数据”,幻灯片24
底线:如果必须存储敏感数据,请使用自己的加密方式。而且不要将密钥存储在设备上。
编辑:有许多新闻文章引用Fraunhofer研究并向读者保证,除非他们的设备被盗,否则不用担心,因为只有物理接触才能进行此攻击。
我有点怀疑。研究人员使用物理访问手机来测试似乎只是简化问题的一种方式,而不是限制性措施。这是他们解密钥匙链条目的描述:
作为使用过jailbreak.me的人都知道,越狱不需要物理接触设备。从理论上讲,修改jailbreak.me代码并使其自动化以下步骤应该是微不足道的:使用越狱工具后,我们可以获得命令行访问权限,并运行一个小脚本来访问和解密在钥匙链中找到的密码。解密是通过操作系统本身提供的函数完成的。
通常,钥匙串是存储此类证书的推荐方式。然而,已经发现越狱可以用来绕过钥匙串的安全性(文章)。
弗劳恩霍夫研究所对iPhone钥匙串的安全性进行了研究:
http://www.sit.fraunhofer.de/Images/sc_iPhone%20Passwords_tcm501-80443.pdf