08 mayo 2013

Seguridad en aplicaciones IOS: NSLog

En artículos anteriores hablaba sobre la importancia de la protección de datos en las aplicaciones de IOS, allí se enumeraban los ficheros con registros de depuración introducidos por los creadores para trazar problemas en la fase de desarrollo.

En esta entrada repasaremos como se introduce este fallo, como se solventa y que mecanismos hay para detectarlo.

NSLog es la función encargada de mandar mensajes a ASL (Apple System Log), el equivalente a syslogd en el dispositivo. Esta función en invocada de forma similar que fprintf.



Muchos programadores piensan que estos datos no son almacenados en el dispositivo o no pueden ser consultados,  ya que todas las aplicaciones son ejecutadas en estrictos entornos enjaulados. Por este motivo en ocasiones se vuelca información sensible como trazas HTTP con usuarios y contraseñas o sesiones.

Los datos que son mandados a ASL son cacheados  y existen incluso herramientas en la Apple Store que los muestran, sin necesidad de tener el terminal jailbreakeado.

Una de estas aplicaciones es AppSwitch, que haciendo uso de las librerías de ASL es capaz de consultar e imprimir los registros (de las 256 últimas entradas). No es la única y existen opciones gratuitas como Console o System Console.

Aplicación AppSwitch en iPhone

Otra alternativa es usar la opción de Consola  de la herramienta iPhone Configuration Utility disponible para para Windows/Mac.

Consola de iPhone Configuration Utility

Lo mejor para evitar el problema es no publicar la aplicación con llamadas a la función NSLog, aunque si es necesario, siempre se puede utilizar una tabla de códigos, asegurándose que no queda información sensible en las trazas. 

Teniendo el código fuente, con un simple grep o una búsqueda de texto con cualquier otra herramienta, se localizan rápidamente sin necesidad de ninguna aplicación especial.


1 comments :

Aitor dijo...

Muy buena entrada! la seguridad es importante en todos los dispositivos donde tengamos informacion privada. Nosotros luchamos por la seguridad informatica de las empresas http://informatica-seguridad.com/.