「Insect Tech's iOSアプリケーション侵入テストコース」の別のビデオです。
このビデオでは、意図しないデータ漏洩について説明します。これは以前はサイトチャネルデータ漏洩として知られていました。
アプリケーションがユーザーや他の入力ソースから収集した機密情報を処理する場合、それがデバイス内の安全な場所に配置される可能性があります。しかし、その安全な場所が同じデバイス上で他のアプリケーションからアクセス可能な場合、セキュリティ上の問題が発生する可能性があります。これにより、アプリケーションのコードが攻撃対象となります。
この側面から見ると、iOSアプリケーションの場合、データ漏洩のリスクが生じる可能性があります。例えば、ログ、アプリケーションのバックグラウンド動作、キーボードキャッシュ、クリップボードなどが含まれます。このビデオではログに焦点を当て、次のビデオでは他の側面についても説明していく予定です。
開発中のアプリケーションでは、デベロッパーがデバッグ目的で機密データをログに記録することがあります。
これにはアプリケーションのワークフローを理解するためや、特定のコード行が正しく実行されているかどうかを確認するためなどがあります。しかし、アプリケーションがログに機密データを記録する場合、そのログが同じデバイス上で実行されている他のアプリケーションからアクセス可能であるため、セキュリティ上のリスクが発生します。
これにはアプリケーションのワークフローを理解するためや、特定のコード行が正しく実行されているかどうかを確認するためなどがあります。しかし、アプリケーションがログに機密データを記録する場合、そのログが同じデバイス上で実行されている他のアプリケーションからアクセス可能であるため、セキュリティ上のリスクが発生します。