การเก็บข้อมูลสำคัญไว้ในฐานข้อมูล “Keychain”
Vulnerability Assessment
อธิบาย (Description)
โปรแกรมที่พัฒนาบนระบบปฎิบัติการ “iOS” ได้จัดเก็บข้อมูลสำคัญ เช่น ชื่อบัญชีผู้ใช้ รหัสผ่าน ข้อมูลลูกค้า เป็นต้น ไว้ในฐานข้อมูล “Keychain” ของระบบปฏิบัติการ “iOS” เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงและขโมยข้อมูลเหล่านี้ผ่านเครื่องที่ได้ทำการ “Jailbreak” แล้ว ผ่านเครื่องมือที่เรีกว่า “Keychain dumper” เป็นต้น
ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)
- ข้อมูลสำคัญถูกจัดเก็บโดยไม่มีการเข้ารหัส
- เครื่องระบบปฎิบัติการ “iOS” ถูก “Jailbreak”
วิธีแก้ไข (Solution)
- ไม่อนุญาตจัดเก็บข้อมูลสำคัญบน “Keychain”
- ถ้าจำเป็นจะต้องการเข้ารหัสโดยใช้กุญแจเข้ารหัสจากเครื่อง “Server” และมี “Salt” ที่ทำให้การเข้ารหัสมีความแตกต่างกันระหว่างเครื่อง “iOS” แต่เครื่อง
เพิ่มเติม
How to test insecure data storage – Keychain data
How to jailbreak iOS – “PP Jailbreak”