iOS Serialisation and Encoding

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Code und weitere Informationen unter https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.

Objektserialisierung in der iOS-Entwicklung

In iOS umfasst Objektserialisierung die Umwandlung von Objekten in ein Format, das leicht gespeichert oder übertragen werden kann, und deren Rekonstruktion aus diesem Format, wenn nötig. Zwei Hauptprotokolle, NSCoding und NSSecureCoding, erleichtern diesen Prozess für Objective-C oder NSObject-Unterklassen, sodass Objekte in NSData serialisiert werden können, ein Format, das Byte-Puffer umschließt.

`NSCoding` Implementierung

Um NSCoding zu implementieren, muss eine Klasse von NSObject erben oder als @objc markiert sein. Dieses Protokoll verlangt die Implementierung von zwei Methoden zum Kodieren und Dekodieren von Instanzvariablen:

class CustomPoint: NSObject, NSCoding {
var x: Double = 0.0
var name: String = ""

func encode(with aCoder: NSCoder) {
aCoder.encode(x, forKey: "x")
aCoder.encode(name, forKey: "name")
}

required convenience init?(coder aDecoder: NSCoder) {
guard let name = aDecoder.decodeObject(forKey: "name") as? String else { return nil }
self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
}
}

Sicherheit mit `NSSecureCoding` verbessern

Um Schwachstellen zu mindern, bei denen Angreifer Daten in bereits konstruierte Objekte injizieren, bietet NSSecureCoding ein verbessertes Protokoll. Klassen, die NSSecureCoding entsprechen, müssen den Typ der Objekte während der Dekodierung überprüfen, um sicherzustellen, dass nur die erwarteten Objekttypen instanziiert werden. Es ist jedoch wichtig zu beachten, dass NSSecureCoding zwar die Typsicherheit verbessert, jedoch keine Daten verschlüsselt oder deren Integrität gewährleistet, was zusätzliche Maßnahmen zum Schutz sensibler Informationen erforderlich macht:

static var supportsSecureCoding: Bool {
return true
}

let obj = decoder.decodeObject(of: MyClass.self, forKey: "myKey")

Datenarchivierung mit `NSKeyedArchiver`

NSKeyedArchiver und sein Gegenstück, NSKeyedUnarchiver, ermöglichen das Kodieren von Objekten in eine Datei und deren späteren Abruf. Dieser Mechanismus ist nützlich, um Objekte zu persistieren:

NSKeyedArchiver.archiveRootObject(customPoint, toFile: "/path/to/archive")
let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive") as? CustomPoint

Verwendung von `Codable` für vereinfachte Serialisierung

Das Codable-Protokoll von Swift kombiniert Decodable und Encodable und erleichtert das Kodieren und Dekodieren von Objekten wie String, Int, Double usw. ohne zusätzlichen Aufwand:

struct CustomPointStruct: Codable {
var x: Double
var name: String
}

Dieser Ansatz unterstützt eine unkomplizierte Serialisierung zu und von Property-Listen und JSON, was die Datenverarbeitung in Swift-Anwendungen verbessert.

JSON- und XML-Codierungsalternativen

Neben der nativen Unterstützung bieten mehrere Drittanbieterbibliotheken JSON- und XML-Codierungs-/Dekodierungsfunktionen, jede mit ihren eigenen Leistungsmerkmalen und Sicherheitsüberlegungen. Es ist wichtig, diese Bibliotheken sorgfältig auszuwählen, insbesondere um Schwachstellen wie XXE (XML External Entities)-Angriffe zu mindern, indem Parser so konfiguriert werden, dass die Verarbeitung externer Entitäten verhindert wird.

Sicherheitsüberlegungen

Bei der Serialisierung von Daten, insbesondere zum Dateisystem, ist es wichtig, wachsam gegenüber der potenziellen Einbeziehung sensibler Informationen zu sein. Serialisierte Daten können, wenn sie abgefangen oder unsachgemäß behandelt werden, Anwendungen Risiken wie unbefugte Aktionen oder Datenlecks aussetzen. Es wird empfohlen, serialisierte Daten zu verschlüsseln und zu signieren, um die Sicherheit zu erhöhen.