《iOS应用安全攻防实战》读书笔记（一）

     最近一直在研究iOS应用安全攻防方面的东西，这本书是一本好书，坚持写下去，这本书能带给我想要的收获。刚开始写，还没有找到正确的方式，人生需要不断思考。希望以后可以越来越得心应手。

关于iOS安全机制单一化方案的误解。作为开发人员，你可能对iOS SDK提供的一系列来开发安全的应用软件充满信心，因为这种信任是最佳的方式。由于代码复用有很多的好处，因此一种面向安全的单一化解决方案就形成在任何环境下的显著风险总和。对这种单一化解决方案的初始标准思考过程大致如下：

1、一个第三方机构验证了设备的安全性，并声称他们满足一系列的认证要求。这些要求一般都足够广泛和足够一般化，集中在概念的性能上，而不是他们的实现方式上。 

2、生产商使用这一认证作为对相信该认证的大型企业和政府机构的营销手段。 

3、企业和政府机构将生产商的接口作为安全可信基础来实现各类需求，错误的相信，偏离了生产商推荐的方法就会有损安全性，而不是进一步改进安全。

4、开发人员基于生产商的API编写应用软件，并因为模块是被认证的而相信他们是可信的。

对于安全模块的认证（例如，NIST的FIPS 140-2标准集中列出的那些），主要是从概念性的角度进行的。也就是说，这些认证要求描述了一个设备或模块如何设计成函数。当一个设备被入侵时，只是设备引起的故障，而操作的方式不会被影响。这样的结果是大多数的认证并不包含渗透测试，也不是意图证明任何制定的设备和模块是安全的，而是表示实现的安全模块是满足要求的。换句话说，FIPS 140-2是关于合规性的，不是安全的。

真实设备的工业测试是留给独立的机构和他们的红队进行渗透测试和审核后完成的。红队一般是一组渗透测试团队，用于评估目标的安全性。很多时候，这些实验的结果不会对外公开，甚至厂商可能也并不知道。这些信息可能被保密协议等原因或者其他原因被保密起来了。

由于私密渗透测试的保密性，一个安全模块可能存在厂商也并不知晓的安全问题，直到黑客利用了这些问题，甚至直到设备发布几年之后。如果制造商未完全披露这些缺陷，或者他们未能及时定位，结局系统中的问题，那么意味着成千上万的程序和百万级的用户可以利用这些漏洞。这也说明了我们的第一个关于安全计算的误解。

## 误解一 ##

认证意味着设备是安全可信的。

## 误解二 ##

根据制造商提供的使用已经在多个平台上多种情况下进行过测试的安全机制，可以有效的提升程序的安全性。