开发过程中通常会使用 NSLog 来输出日志,用于调试 Bug 和测试功能。因此在打印出来的 Log 中很容易会泄漏程序的关键逻辑和用户敏感数据,降低了逆向破解的难度,增加了敏感信息泄漏的风险。如果 Release 包里面没有关闭系统日志,通过 Xcode Device 等工具,可以很容易地看到应用程序 Log 的打印。
安全加固实施建议
1. 使用宏来控制测试版和发布版本的日志输出;
2. 安全测试和对外发布时使用 Release 版本,关闭日志输出。
360 涅槃团队(Nirvan Team)隶属于 360 公司信息安全部,主要负责公司所有 iOS App 的安全,同时进行苹果平台相关的安全研究,包括:操作系统层面的漏洞挖掘与利用;在工程中提升攻防效率与生产力的方法与工具。