那些你不知道的iOS开发安全问题？

    在传统互联网领域，安全已然是一个老生常谈的话题。业界大佬都不惜重金打造软件安全部，用于检测自己产品的安全性。纵使如此，仍时常爆出许多安全问题引发新闻。当今，移动互联网时代，iOS应用由于直接运行在用户的手机上，相比运行在服务器的后台服务，更有可能被黑客攻击。

    本文接下来将从三个方面概述iOS移动应用在安全方面所面临的挑战以及应对措施。

网络安全

安全地传输用户密码

    大部分的iOS应用都需要连网，通过和服务器端进行通信，获得最新的信息并且将内容展现给用户。由于网络传输过程中有可能经过不安全的中间节点，所以我们应该对敏感数据加密，用于保证用户信息的安全。黑客可以在受害者的手机上设置网络通信的代理服务器，从而截获所有的网络请求。即使是HTTPS的加密通信，黑客也可以通过中间人攻击（Man-In-The-Middle Attack，指的是攻击者与通信的两端分别创建独立的联系，并交换其所收到的数据，使通信的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上，整个会话都被攻击者完全控制）来截取通信内容。

本地文件和数据安全

程序文件的安全

    iOS应用的大部分逻辑都是在编译后的二进制文件中，但由于近年来混合式（Hybrid）编程方式的兴起，很多应用的部分功能也采用内嵌Web浏览器的方式来实现。例如腾讯QQ iOS客户端的内部，就有部分逻辑是用Web方式实现的。由于iOS安装文件其实就是一个zip包，所以我们可以通过解压，看到包内的内容。

源代码安全

    通过file、class-dump、theos、otool等工具，黑客可以分析编译之后的二进制程序文件，不过相对于这些工具来说，IDA的威胁最大。IDA是一个收费的反汇编工具，对于Objective-C代码，它常常可以反汇编到可以方便阅读的程度，这对于程序的安全性，也是一个很大的危害。因为通过阅读源码，黑客可以更加方便地分析出应用的通信协议和数据加密方式。

总结

    由于移动互联网的快速发展，人们的购物、理财等需求也在移动端出现，使得移动应用的安全性越来越重要。由于部署在用户终端上，移动应用比服务器应用更容易被攻击，大家也需要在移动应用的网络通信、本地文件和数据、源代码三方面做好防范，只有这样才能保证应用安全。