Sensitive information kept in Keychain

การเก็บข้อมูลสำคัญไว้ในฐานข้อมูล “Keychain”

Vulnerability Assessment

อธิบาย (Description)

โปรแกรมที่พัฒนาบนระบบปฎิบัติการ “iOS” ได้จัดเก็บข้อมูลสำคัญ เช่น ชื่อบัญชีผู้ใช้ รหัสผ่าน ข้อมูลลูกค้า เป็นต้น ไว้ในฐานข้อมูล “Keychain” ของระบบปฏิบัติการ “iOS” เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงและขโมยข้อมูลเหล่านี้ผ่านเครื่องที่ได้ทำการ “Jailbreak” แล้ว ผ่านเครื่องมือที่เรีกว่า “Keychain dumper” เป็นต้น

ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)

  • ข้อมูลสำคัญถูกจัดเก็บโดยไม่มีการเข้ารหัส
  • เครื่องระบบปฎิบัติการ “iOS” ถูก “Jailbreak”

วิธีแก้ไข (Solution)

  • ไม่อนุญาตจัดเก็บข้อมูลสำคัญบน “Keychain”
  • ถ้าจำเป็นจะต้องการเข้ารหัสโดยใช้กุญแจเข้ารหัสจากเครื่อง “Server” และมี “Salt” ที่ทำให้การเข้ารหัสมีความแตกต่างกันระหว่างเครื่อง “iOS” แต่เครื่อง

เพิ่มเติม
How to test insecure data storage – Keychain data
How to jailbreak iOS – “PP Jailbreak”

ใส่ความเห็น