如何对Mac应用程序商店的应用程序进行安全审查

Question

作为软件采购过程的一部分，我们正在评估应用程序的安全性，例如，检查是否有未解决的漏洞报告，以及供应商是否将安全需求嵌入到其软件开发生命周期中(例如扫描易受攻击的库、静态代码分析、安全编码实践等)。这是通过使用非维护和易受攻击的软件来降低数据机密性、完整性和可用性的风险。通过连接的云服务进行安全性检查是不同的，所以我的问题更多地涉及到独立(实用程序/生产力)应用程序。

苹果已经对所有在苹果应用商店上发布的应用程序进行了某种形式的审查，如https://developer.apple.com/app-store/review/guidelines/中所描述的，但并没有详细介绍正在检查的内容。

一家公司应该如何审查Mac中所需的应用程序，以使它们满足公司的安全要求？

Answer 1

最基本的评论是苹果已经提供的内容，比如“应用程序请求什么权限”和“谁发布了它”。你也可以指示操作系统不要给应用程序一些它可能想要的权限。通过商店发布的所有应用程序都是经过数字签名的，所以你可以确定你安装的版本是上传到苹果的版本。然而，苹果的评论并不一定能捕捉到人们对该应用程序所做的恶意行为的所有方式。

对于完全黑箱测试应用程序，最好的选择是网络审查；在拦截代理(如Burp )后面设置它，在设备上设置代理，并开始捕获流量。验证应用程序是否使用HTTPS或其他加密协议。对于HTTPS，请验证它是由签名者和主机验证TLS证书。如果应用程序使用证书或密匙钉扎，您将无法解密数据(尽管您仍然可以知道它试图连接到哪些主机)，但如果没有，您可以在设备上安装代理的根CA证书之后解密数据。这将让您看到应用程序是否正在发送任何不应该发送的数据，或者发送到任何不应该发送的数据。

如果您想实际检查应用程序的设备上的数据和文件，您将需要一个越狱设备。使用特权文件浏览器，您可以检索安装文件，并从不受信任的作者或已知易受攻击的版本中检查它们的任何库。如果您真的愿意，您可以将文件放入反汇编程序/反编译程序中，并准确地确定它们所做的工作，尽管这是一个技术熟练且有些费力的过程，即使文件一点也不模糊。您还可以检索任何数据文件(包括数据库文件)，应用程序存储在其沙箱部分的文件系统。您可以检查任何敏感数据是否是加密的(尽管这样做的用处有限，除非应用程序本身在启动时要求一个密码；没有地方存储攻击者无法用足够努力访问的密钥)，或者存储的数据不是您所期望的。您还可以查看应用程序的密钥链，并查看其中存储的内容。