公司最近把mui做的app拿去做安全测评,现检测出问题不知道应该如何处理?
测评目的 检测 iOS App 程序中是否引用了不安全的系统 API 函数
危险等级 高
危害
iOS 中提供的系统 API 函数中,包含一些存在安全隐患或者需配合指定方式
使用的系统 API,否则将会导致安全性问题。其中,比较明显的一种问题就
是缓冲区溢出攻击。此类 API 中无法自动对栈中的数组进行边界检查,而且
局部变量和状态信息,都存在栈中。这样,对越界的数组元素的写操可能会
破坏存储在栈中的状态信息。当程序使用这个被破坏的状态,试图重新加载
寄存器或执行 ret 指令时,就会出现很严重的错误,可能导致程序运行失败、
系统关机、重新启动。更加致命的情况是让程序跳转去执行攻击者的恶意指
令,比如非法提升权限,执行恶意代码等。
测评结果 存在风险(发现 6 处)
测评结果描述 该 App 程序中引用了不安全的系统 API 函数
测评详细信息
125076 0x0063387f 0x0063787f 11 12 ascii .
#@_getenv
125218 0x00634602 0x00638602 11 12 ascii
2 #@_sscanf
125202 0x0063446f 0x0063846f 12 13 ascii
2 #@_sprintf
125256 0x0063493a 0x0063893a 13 14 ascii
4 #@_vsprintf
125221 0x00634636 0x00638636 11 12 ascii
3 #@_strcat
125224 0x00634666 0x00638666 11 12 ascii
3 #@_strcpy
解决方案
开发者移除应用程序中调用的系统风险函数和过期 api,同时防止系统直接调
用存在 C 缓冲区溢出的函数如
memcpy、scanf、sprintf、strcpy、vsprintf
