移动安全开发指南-正确应用Touch ID

释放双眼,带上耳机,听听看~!
移动安全开发指南-正确应用Touch ID

详细描述

Touch ID通常被用来允许用户在不输入密码的情况下对其设备进行认证和解锁。 一些开发人员还使用Touch ID,允许用户使用存储的设备指纹对其应用进行身份验证。

当开发人员在其应用中应用Touch ID时,通常会采用以下两种方式之一:

  1. 仅使用本地认证框架来认证用户
  2. 这种方法使认证机制很容易被绕过
  3. 攻击者可以在运行时修改本地检查,或者通过修补二进制。 这可以通过覆盖LAContextevaluatePolicy:localizedReason:reply方法来实现
  4. 使用钥匙串访问控制列表(ACL)

建议

当使用Touch ID进行身份验证时,将应用程序的密钥存储在钥匙串中,并将ACL分配给该项目。 使用此方法,iOS将在读取和将Keychain项目返回到应用程序之前执行用户存在检查。 开发人员可以在Apple网站上找到示例代码: https://developer.apple.com/library/ios/samplecode/KeychainTouchID/Listings/KeychainTouchID_AAPLKeychainTestsViewController_m.html.

参考

  • KeychainTouchID: Using Touch ID with Keychain and LocalAuthentication - https://developer.apple.com/library/content/samplecode/KeychainTouchID/Introduction/Intro.html

CWE/OWASP

  • OWASP Mobile Top 10: M5 - Poor Authorization and Authentication
  • CWE: CWE-288 - Authentication Bypass Using an Alternate Path or Channel

相关文章

人已赞赏
安全工具安全教程

移动安全开发指南-应用ATS(App Transport Security)

2019-10-24 16:52:52

安全工具安全教程

移动安全开发指南-谨慎配置 File Permissions

2019-10-24 16:54:08

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索