应用程序创建的钥匙串项在没有访问控制的情况下是否安全?

Is keychain item created by app safe without access control?

我在没有访问控制的情况下在我的应用程序的钥匙串中保存了一个秘密。根据我的搜索,该项目应该只能由我的应用程序访问。

有没有办法破解这个钥匙串项目?例如,黑客是否可以安装具有相同捆绑包标识符的虚假应用程序来替换我的应用程序并获取我的钥匙串项目?

iOS 有一个钥匙串,可以在设备解锁时访问。只有您的应用程序(或一组应用程序,如果您设置了钥匙串共享)可以访问您存储的钥匙串项目。但是,如果您的设备已越狱,则可以通过多种方式从钥匙串中窃取物品。请参阅本教程,了解有关钥匙串最佳实践的一些有用信息:

ios App Security Ray Wenderlich

来自以上网站:

Although Keychain Access is more secure, it is also a high-priority target. For jailbroken iOS devices there are command line utilities that print out the Keychain Access database’s contents.

我相信自 iOS 8.1.3 以来,现在不可能安装虚假应用程序并泄露钥匙串。 (外部阅读:https://www.fireeye.com/blog/threat-research/2015/06/three_new_masqueatt.html) 此外,您还可以考虑使用受 TouchID 保护的钥匙串,因为我相信这些钥匙串在硬件级别受到保护