编辑推荐

无论你是要通过探寻、修复编码漏洞为应用设防，还是想通过探究iOS应用结构及Objective-C设计模式捕获他人APP漏洞，本书都会借由以下内容帮助你很好地完成工作。

√ iOS 安全模型及其内置保护模式的局限

√ 无数种会导致敏感数据泄漏的方式，例如剪贴板导致的泄漏

√ 如何使用钥匙串、数据保护 API 及 CommonCrypto 实现加密

√ 由于 C 语言本身所遗留的缺陷，从而导致 iOS 应用如今会遇到的一些问题

√ 收集用户数据所带来的隐私问题，以及如何避免在收集过程中会遇到的潜在陷阱

内容简介

对于所有希望保护用户免受恶意攻击的开发者来说，消除iOS 应用当中的安全漏洞至关重要。在本书中，移动端安全专家David Thiel 向你揭示了那些会导致严重安全问题的常见iOS 编码漏洞，并阐述了找到并修复这些漏洞的方法。避免在应用的安全漏洞方面出现重大纰漏很重要。无论是需要加强应用的防御能力，还是要在他人的代码当中寻找安全漏洞，本书都能帮助你很好地完成工作。本书适合有一定经验、正致力于探究iOS 应用漏洞的开发者，也适合对渗透测试感兴趣的读者。

作者简介

程伟，SwiftGG 翻译组核心成员，曾做过路由器、防火墙等安全硬件产品的 firmware 研发工作，对 iOS 开发也颇有研究，自 Swift 发布以来一直关注着它的发展，并保持有对新技术的热忱。目前就职于某国企负责项目管理工作，业余时间喜欢看书、跑步、烧菜，研究大前端技术栈，希望能通过自己的努力为国内的技术发展添砖加瓦。马超，iOS 开发工程师，目前就职于某金融公司手机炒股部门，SwiftGG 翻译组核心成员。自 Apple 推出 Swift 语言之后开始学习并应用到 iOS 项目开发中，已上架多款应用到 App Store，目前专注于 Server-Side Swift 的开发，正在构思实现一个底层开源库；业余时间喜欢逛技术博客，翻译外文以及和技术大牛交流学习。新浪微博@Ninth_Day。李俊阳（星夜暮晨），Realm 中文翻译，SwiftGG 翻译组核心成员，《Xcode 江湖录》作者之一。沉迷 Swift，自 Swift 发布以来一直在探索和学习 Swift 的开发和使用；热爱开源，多次向 Swift、Realm Cocoa 开源库贡献代码；喜欢独辟蹊径，目前在 App Store 上架了专门为彝族同胞开发的「彝文输入法」，希望通过自己的努力让所有人都能享受科技带来的便利。 戴维?希尔在计算机安全领域有近20年的经验，他的研究成果和著作Mobile Application Security（麦格劳-希尔出版公司）促进了iOS应用安全领域的诞生，他还多次在安全大会（比如Black Hat和DEF CON）上进行演讲。希尔曾在iSEC担任多年应用安全顾问，目前就职于Internet.org的Connectivity实验室。

作者简介

David Thiel在计算机安全领域有近 20年的经验，他的研究成果和著作

Mobile Application Security（McGraw-Hill出版社出版）促进了 iOS应用安全领域的发展，他还多次在安全大会（比如 Black Hat和 DEF CON）上进行演讲。 Thiel曾在 iSEC担任多年应用安全顾问，目前就职于 Internet.org的 Connectivity实验室。

技术评审者

Alban Diquet是软件工程师和安全研究员，主要研究领域包括 iOS安全协议、数据隐私和移动安全。Diquet曾发布过几个开源的安全工具，包括 SSLyze、iOS SSL Kill Switch和 TrustKit。此外，他也经常出席各种安全会议，包括 Black Hat、 Hack in the Box和 Ruxcon。

目录

目录

推荐序 ......................................................................................................................... V

译者序 ....................................................................................................................... VII

作者简介 ..................................................................................................................... IX

前言 ............................................................................................................................ XI

致谢 ......................................................................................................................... XXI

第一部分 iOS 基础

第1 章 iOS 安全模型 ................................................................................................ 2

安全启动 ........................................................................................................................... 3

沙盒机制 ........................................................................................................................... 3

数据保护和全盘加密 ........................................................................................................ 4

加密密钥的层级........................................................................................................ 5

钥匙串API ................................................................................................................ 7

数据保护API ............................................................................................................ 7

防御代码漏洞：ASLR、XN 和其他机制 ....................................................................... 8

越狱检测 ........................................................................................................................... 9

苹果商店的审查是否有用 .............................................................................................. 10

WebKit 桥接 ............................................................................................................ 11

XXIV iOS应用安全权威指南

动态修复 ................................................................................................................. 11

故意植入不安全的代码 .......................................................................................... 12

内嵌解释器 ............................................................................................................. 12

小结 ................................................................................................................................ 12

第2 章 Objective-C 简明教程.................................................................................. 13

关键的iOS 编程技术 ..................................................................................................... 14

消息传递 ......................................................................................................................... 14

剖析Objective-C 程序 .................................................................................................... 15

声明一个接口 ......................................................................................................... 15

具体实现 ................................................................................................................. 16

使用block 指定回调 ....................................................................................................... 18

Objective-C 如何管理内存 ............................................................................................. 19

自动引用计数 .................................................................................................................. 19

委托和协议...................................................................................................................... 20

should 消息 .............................................................................................................. 20

will 消息 .................................................................................................................. 21

did 消息 ................................................................................................................... 21

声明并遵守协议....................................................

精彩书摘

推荐序

在数字浪潮席卷全球之前，人们出门时并不会随身携带装满私人敏感信息的电子设备。而现在，几乎每个人都会随身携带一部手机，里面装满了各种私人信息。

智能手机给我们带来的不只是便利。它包含如此多的信息，对许多美国人来说，它就是“生活隐私”的载体。技术的进步让信息无处不在，但是这并不会降低信息的重要性，我们需要为了保护信息不断奋斗，就像国父们一样。

——首席大法官 John Roberts，出自莱利诉加利福尼亚案（2014）

大多数人都承认，智能手机是 21世纪影响力昀大的发明。自 2007年第一代 iPhone问世以来，智能手机的用户量暴增。到 2015年年末写这本书时，全球已有近 34亿手机用户，大概占世界人口的一半（全世界有超过 73亿人）。在全球范围内，智能手机已经超过了电脑，成为访问互联网的主力。智能手机的普及对人类文明的影响完全能写一本书。手机正在改变世界，无数人通过手机访问互联网上的教育和娱乐资源，到处都是金矿。在某些国家，移动互联网和社交网络甚至能让专制政权垮台，能推动社会变革。

即使是美国昀高法院的七旬老人也已经意识到现代移动设备的威力，并做出了新的判例。就像上面莱利诉加利福尼亚案所提到的，智能手机不仅是一部电子设备——它是人民隐私的入口。

和所有的技术革命一样，移动技术的普及也会产生一些负面影响。我们有能力与世界各地的人建立联系，但这并不能提升面对面的沟通能力，而且移动技术也无法消除世界上长久以来的贫富差距。与此同时，和企业云计算、个人计算机及网络革命一样，智能手机也会引入新的安全漏洞，同时需要面对现有的各种安全问题。

2007年发布的智能手机确实有一些重要的技术创新，但是真正吸引第三方开发者的是之后发布的 SDK和开放应用商店。由此也诞生了一批新时代的开发者，他们需要从过去的安全教训中汲取经验，适应未来全新的、不确定的环境。

我和 David Thiel已经相识 10年之久，他对新技术的热情给我留下了深刻的印象。一旦出现新技术， David就会马上通过检查、反编译、破解来掌握它，并用新知识来增强其他技术的安全性。David很早就意识到 iPhone会出现新的安全问题，因此从 iPhone操作系统 SDK发布的第一天起，他就已经开始研究应用开发者可能会犯的错误，以及如何越过平台限制开发安全的应用。

本书是迄今为止对 iOS安全介绍昀为全面的书籍。每一位心系用户的开发者都应该遵循本书的指导来设计自身的产品、组织结构和技术决策。David把多年来踩过的坑和解决方案都写了下来，希望你能认真学习。

智能手机潜力巨大，但要让它真正发挥作用，我们必须尽昀大努力让设备安全可信，保护用户隐私不被泄露。

Alex Stamos Facebook首席安全官

译者序

随着 2007年第一代 iPhone的诞生，一个崭新的移动互联网时代拉开了序幕。截至 iPhone 7上市，苹果的 Apple Store应用累计下载 1400亿次，巨大的商机令全球的开发者们纷至沓来。截至 2015年，仅中国的开发者人数就突破了 100万，稳居世界第一。

随着硬件机能的日新月异，iOS——这一具有划时代意义的操作系统也迎来了它的 10岁生日。在每年的 WWDC上，苹果总是不遗余力地向全世界的开发者们展示最新的操作系统，介绍新的特性、新的 API，甚至是最佳编程实践。

然而正所谓树大招风，iPhone用户也是黑产们眼中高质量的攻击目标。虽然苹果独特的沙盒机制已经最大限度地保护了用户的隐私安全，但目前针对 iOS的黑色产业链已涉及方方面面。 2015年 9月中国大陆地区出现了 XcodeGhost病毒感染开发工具 Xcode的风波，给所有 iOS开发的从业者敲响了警钟，就连微信这种国民级 App都未能幸免，这进一步说明了提升国内 iOS开发者安全意识的紧迫性。

每次 iOS版本更新时，市面上都会出版大量与 iOS开发相关的书籍，但绝大部分的书都是教你如何使用 iOS SDK提供的 API来开发一个 App。大多数情况下，能熟练运用这些 API就足够了，但如果想立志成为一名进阶的 iOS开发者，使编写出来的代码更加稳定和安全，就要对 iOS系统的底层细节和安全机制有所了解。可惜的是，市面上关于 iOS系统安全机制和底层研究的书凤毛麟角。

Swift.GG作为国内最走心的翻译组之一，通过一次偶然的机会得知电子工业出版社正在寻找《iOS应用安全权威指南》一书的译者。双方一拍即合，决定为中国的开发者们带来一本关于 iOS安全机制与底层细节的书籍，从而补上 iOS开发“安全”这最后一块拼图。

本书的作者 David Thiel，自 2008年初代 iPhone诞生后的第一年起，就开始对 iOS应用进行各种安全检测和渗透实验，时至今日，已经积攒了大量的经验。无论你是刚入门的小菜鸟，还是已经摸爬滚打多年的老司机，本书都会循序渐进地带你重温 iOS最基础的基本结构、安全背景；再更进一步地手把手教你搭建一个安全测试环境，进行代码分析、逆向工程；之后本书将 iOS最薄弱、易受攻击的软肋一一列举，并告诉开发者如何避开这些陷阱；最后一部分，将会为我们演示如何利用加密手段最大限度地保护用户的数据和隐私。

本书在翻译过程中，得到了阿里巴巴安全大神蒸米同学的悉心指导；在本书的校对过程中，SwiftGG的创始人梁杰同学提出了很高的要求，并投入了极大的精力，在此对二位提出特别感谢。参与翻译的李俊阳、马超同学，以及后期参与校对的 SwiftGG小伙伴们，虽然大家身处异地，但从翻译到校对的整个过程都配合得行云流水，体现出了整个团队的高效与专业，无愧于国内“走心翻译组”这一称号，再次感谢大家。最后感谢电子工业出版社给了我们这次机会，感谢编辑们和审稿专家的细心检查。译者水平有限，bug在所难免，还请读者批评指正。

程伟 2016年 12月 5日

前言/序言

推荐序

在数字浪潮席卷全球之前，人们出门时并不会随身携带装满私人敏感信息的电子设备。而现在，几乎每个人都会随身携带一部手机，里面装满了各种私人信息。< iOS 应用安全权威指南 电子书 下载 mobi epub pdf txt

书的质量还不错。

翻译的不错 书的内容很好 收获蛮多 更多的是留下很多思考的空间 读完此书总想仔细思考体会品味

不错?不错?不错不错?不错?不错不错?不错?不错

书一般，和想象中差那么一点

书的质量还不错。

好！！！！

一次买了十几本。不错的书。

书本挺好，印刷质量也可以

初看了下，内容还是不错的，感觉应该会挺有用。