Tim*_*ing 7 security push-notification apple-push-notifications ios
有谁知道Apple的APN推送通知服务中的漏洞在哪里?
我们可以确保将我们的通知安全地发送给Apple,因此我们只需要知道它们是否可以从这一点被截获?
动机:我们已经构建了一个iOS消息传递应用程序,我们将其作为100%安全的解决方案,其中一些功能在安全性之前从未被利用过.
Apple于UNNotificationServiceExtension去年发布,允许开发人员通过APNS发送完全加密的通知有效内容,然后让最终用户设备上的应用本身在显示通知之前进行解密(或加载任何其他支持数据):
UNNotificationServiceExtension类为Notification Service应用程序扩展提供了入口点,该扩展程序使您可以在将远程通知传递给用户之前自定义远程通知的内容。Notification Service应用程序扩展程序不提供其自己的任何UI。而是在将适当类型的通知传递到用户设备时按需启动。您可以使用此扩展程序来修改通知的内容或下载与该扩展程序有关的内容。例如,您可以使用扩展名解密加密的数据块或下载与通知关联的图像。
我的团队正在对此进行进一步调查,以此以完全符合HIPAA的方式发送有用的通知,而Apple无法看到通知的明文。我们很乐观。
看看这篇文章:
设备本身和推送云服务之间的连接当然是通过 TLS 通道进行保护的。
...
但是,与推送消息一起从应用程序云服务发送到设备上安装的应用程序的实际文本和其他元数据又如何呢?它是如何保证安全的?这里的问题是,如上所述,它在传输中总是受到保护,但 消息本身在这些传输之间是明文的。
这就是用户隐私的问题。所有推送云服务都有通过其系统以明文形式发送的每条推送消息。
也就是说,他们有能力分析、查看、共享/销售数据。他们还面临着受到损害并将数据泄露给网络犯罪分子的风险。
因此,一般来说,如果您想安全起见,请不要通过推送通知发送任何敏感数据。相反,只需使用推送通知作为同步机制,以便告诉应用程序需要以您可以控制的安全方式获取新数据。
| 归档时间: |
|
| 查看次数: |
6763 次 |
| 最近记录: |