iOS Bezpečnost aplikací

- iOS -

Bezpečnost aplikací
Název
Obrázek
Popis
Schvalovací proces aplikací
Běžní uživatelé nemají jinou možnost instalace aplikací, než skrze obchod AppStore. Pokud uživatel zařízení se systémem iOS neprovede zásah do systému, tj. Jailbreak, nemá jinou možnost, jak aplikace třetích stran instalovat. Každá aplikace, která je k dispozici v obchodě AppStore, prochází schvalovacím procesem, při kterém je analyzována a testována před jejím definitivním umístěním v obchodě. Společnost Apple tento krok vysvětluje jako způsob bezplatné antivirové kontroly aplikací, které si uživatelé následně instalují do zařízení.
Šifrování Šifrování je základní kámen bezpečnosti aplikací v systému iOS. Vývojáři mají k dispozici množství šifrovacích algoritmů a technik, které mohou využít k zabezpečení svých aplikací. Útočníci se při snahách o ovládnutí systému snaží především odcizit uživatelská data a proto je implementace šifrování ze strany vývojářů žádoucí.
Zabezpečení paměti O zabezpečení paměti systému iOS se stará bezpečnostní mechanismus ASLR, který sám náhodně zapisuje data do úseků paměti tak, aby bylo jejich umístění pro útočníka nedohledatelné. Zabezpečení paměti je nutné z hlediska možné budoucí krádeže zařízení, kdy může útočník získat přístup k fyzickým datům v zařízení. Společně s mechanismem ASLR 22 existuje postup, který se vývojářům doporučuje v případě, že chtějí sami zlepšit zabezpečení paměti zařízení.
Zabezpečení běhového prostředí Běhové prostředí systému iOS zajišťuje bezproblémový chod aplikací. Každá aplikace třetích stran, která projde testovacím prostředím, využívá pro svůj chod běhové prostředí. Právě při chodu v běhovém prostředí jsou aplikace třetích stran nejzranitelnější. Odborné publikace popisují několik způsobů, jak aplikaci úspěšně zabezpečit a předcházet jejímu zneužití ze strany útočníka.
Fúze aplikace Fúze aplikací je způsob testování aplikací a vyhledávání potenciálních zranitelností. Při fúzi dochází k nepřerušenému odesílání upravených dat testované aplikaci. Následně je proces vyhodnocen a ve výsledku je možné odhalit zranitelnosti v aplikaci. Fúze je považována za nejsnadnější způsob odhalení chyb v aplikacích v systému iOS a proto je často využívána útočníky pro přípravu exploitu. Při procesu fúze je možné odhalit, jaká data je aplikace schopná přijmout a jaká data následně posílá zpět.

Název	Obrázek	Popis
Schvalovací proces aplikací		Běžní uživatelé nemají jinou možnost instalace aplikací, než skrze obchod AppStore. Pokud uživatel zařízení se systémem iOS neprovede zásah do systému, tj. Jailbreak, nemá jinou možnost, jak aplikace třetích stran instalovat. Každá aplikace, která je k dispozici v obchodě AppStore, prochází schvalovacím procesem, při kterém je analyzována a testována před jejím definitivním umístěním v obchodě. Společnost Apple tento krok vysvětluje jako způsob bezplatné antivirové kontroly aplikací, které si uživatelé následně instalují do zařízení.
Šifrování		Šifrování je základní kámen bezpečnosti aplikací v systému iOS. Vývojáři mají k dispozici množství šifrovacích algoritmů a technik, které mohou využít k zabezpečení svých aplikací. Útočníci se při snahách o ovládnutí systému snaží především odcizit uživatelská data a proto je implementace šifrování ze strany vývojářů žádoucí.
Zabezpečení paměti		O zabezpečení paměti systému iOS se stará bezpečnostní mechanismus ASLR, který sám náhodně zapisuje data do úseků paměti tak, aby bylo jejich umístění pro útočníka nedohledatelné. Zabezpečení paměti je nutné z hlediska možné budoucí krádeže zařízení, kdy může útočník získat přístup k fyzickým datům v zařízení. Společně s mechanismem ASLR 22 existuje postup, který se vývojářům doporučuje v případě, že chtějí sami zlepšit zabezpečení paměti zařízení.
Zabezpečení běhového prostředí		Běhové prostředí systému iOS zajišťuje bezproblémový chod aplikací. Každá aplikace třetích stran, která projde testovacím prostředím, využívá pro svůj chod běhové prostředí. Právě při chodu v běhovém prostředí jsou aplikace třetích stran nejzranitelnější. Odborné publikace popisují několik způsobů, jak aplikaci úspěšně zabezpečit a předcházet jejímu zneužití ze strany útočníka.
Fúze aplikace		Fúze aplikací je způsob testování aplikací a vyhledávání potenciálních zranitelností. Při fúzi dochází k nepřerušenému odesílání upravených dat testované aplikaci. Následně je proces vyhodnocen a ve výsledku je možné odhalit zranitelnosti v aplikaci. Fúze je považována za nejsnadnější způsob odhalení chyb v aplikacích v systému iOS a proto je často využívána útočníky pro přípravu exploitu. Při procesu fúze je možné odhalit, jaká data je aplikace schopná přijmout a jaká data následně posílá zpět.