HackTricks

Code und weitere Informationen unter https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.

Objektserialisierung in der iOS-Entwicklung

In iOS umfasst Objektserialisierung die Umwandlung von Objekten in ein Format, das leicht gespeichert oder übertragen werden kann, und deren Rekonstruktion aus diesem Format bei Bedarf. Zwei Hauptprotokolle, NSCoding und NSSecureCoding, erleichtern diesen Prozess für Objective-C oder NSObject-Unterklassen, sodass Objekte in NSData serialisiert werden können, ein Format, das Byte-Puffer umschließt.

NSCoding Implementierung

Um NSCoding zu implementieren, muss eine Klasse von NSObject erben oder mit @objc gekennzeichnet sein. Dieses Protokoll verlangt die Implementierung von zwei Methoden zum Kodieren und Dekodieren von Instanzvariablen:

class CustomPoint: NSObject, NSCoding {
var x: Double = 0.0
var name: String = ""

func encode(with aCoder: NSCoder) {
aCoder.encode(x, forKey: "x")
aCoder.encode(name, forKey: "name")
}

required convenience init?(coder aDecoder: NSCoder) {
guard let name = aDecoder.decodeObject(forKey: "name") as? String else { return nil }
self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
}
}

Sicherheit verbessern mit NSSecureCoding

Um Schwachstellen zu mindern, bei denen Angreifer Daten in bereits konstruierte Objekte injizieren, bietet NSSecureCoding ein verbessertes Protokoll. Klassen, die NSSecureCoding entsprechen, müssen den Typ der Objekte während der Dekodierung überprüfen, um sicherzustellen, dass nur die erwarteten Objekttypen instanziiert werden. Es ist jedoch wichtig zu beachten, dass, während NSSecureCoding die Typsicherheit verbessert, es keine Daten verschlüsselt oder deren Integrität gewährleistet, was zusätzliche Maßnahmen zum Schutz sensibler Informationen erforderlich macht:

static var supportsSecureCoding: Bool {
return true
}

let obj = decoder.decodeObject(of: MyClass.self, forKey: "myKey")

Datenarchivierung mit NSKeyedArchiver

NSKeyedArchiver und sein Pendant, NSKeyedUnarchiver, ermöglichen das Kodieren von Objekten in eine Datei und das spätere Abrufen. Dieser Mechanismus ist nützlich, um Objekte zu persistieren:

NSKeyedArchiver.archiveRootObject(customPoint, toFile: "/path/to/archive")
let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive") as? CustomPoint

Verwendung von Codable für vereinfachte Serialisierung

Das Codable-Protokoll von Swift kombiniert Decodable und Encodable und erleichtert das Kodieren und Dekodieren von Objekten wie String, Int, Double usw. ohne zusätzlichen Aufwand:

struct CustomPointStruct: Codable {
var x: Double
var name: String
}

Dieser Ansatz unterstützt eine unkomplizierte Serialisierung zu und von Property-Listen und JSON, was die Datenverarbeitung in Swift-Anwendungen verbessert.

JSON- und XML-Codierungsalternativen

Neben der nativen Unterstützung bieten mehrere Drittanbieter-Bibliotheken JSON- und XML-Codierungs-/Decodierungsfunktionen, jede mit ihren eigenen Leistungsmerkmalen und Sicherheitsüberlegungen. Es ist unerlässlich, diese Bibliotheken sorgfältig auszuwählen, insbesondere um Schwachstellen wie XXE (XML External Entities)-Angriffe zu mindern, indem Parser so konfiguriert werden, dass die Verarbeitung externer Entitäten verhindert wird.

Sicherheitsüberlegungen

Bei der Serialisierung von Daten, insbesondere zum Dateisystem, ist es wichtig, wachsam gegenüber der potenziellen Einbeziehung sensibler Informationen zu sein. Serialisierte Daten können, wenn sie abgefangen oder unsachgemäß behandelt werden, Anwendungen Risiken wie unbefugte Aktionen oder Datenlecks aussetzen. Es wird empfohlen, serialisierte Daten zu verschlüsseln und zu signieren, um die Sicherheit zu erhöhen.

Referenzen

• https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence