Reino: Encapsulation

La encapsulación consiste en crear límites fuertes. En un explorador web esto puede suponer la seguridad de que tu codificación móvil no se vea comprometido por otro código móvil. En el servidor puede significar la diferenciación entre los datos validados y los que no lo están, entre los datos de un usuario y los de otro, o entre los diferentes usuarios, los datos que pueden ver y los que no.

Insecure Storage: Unspecified Keychain Access Policy

Abstract
El método identificado almacena los datos en las llaves sin especificar un nivel de accesibilidad.
Explanation
Cuando se almacenan los datos en las llaves, es necesario configurar un nivel de accesibilidad que defina cuándo será posible acceder al elemento. Los niveles de accesibilidad posibles incluyen los siguientes:

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAlways:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
Solo se puede acceder a los datos de las llaves cuando el dispositivo está desbloqueado. Solo está disponible si se configura un código de acceso en el dispositivo.
Esta opción se recomienda para los elementos a los que solo es necesario tener acceso mientras la aplicación está en primer plano. Los elementos con este atributo nunca migran a un dispositivo nuevo. Tras restaurar una copia de seguridad en un dispositivo nuevo, no se encuentran estos elementos. Ningún elemento puede almacenarse en esta clase en los dispositivos sin un código de acceso. Si se deshabilita el código de acceso del dispositivo, se eliminan todos los elementos de esta clase.
Disponible en iOS 8.0 y posteriores.

-kSecAttrAccessibleAlwaysThisDeviceOnly:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlocked:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Este es el valor predeterminado para los elementos de las llaves que se agregan sin configurar de forma explícita una constante de accesibilidad.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

Cuando las protecciones de las llaves se introdujeron por primera vez, el valor predeterminado era kSecAttrAccessibleAlways, lo que creaba un problema de seguridad ya que si alguien tenía acceso a su dispositivo o lo robaba podía leer el contenido de las llaves. En la actualidad, el atributo predeterminado es kSecAttrAccessibleWhenUnlocked, que es un valor predeterminado razonablemente restrictivo. Sin embargo, la documentación pública de Apple no está de acuerdo sobre cuál debe ser el atributo predeterminado. Por lo tanto, como precaución, debe configurar este atributo de manera explícita en todos los elementos de las llaves.

Ejemplo 1: en el siguiente ejemplo, el elemento de las llaves se almacena sin especificar claramente un nivel de accesibilidad que podrá tener un comportamiento distinto en las distintas versiones de iOS:


...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure Keychain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...
References
[1] Keychain Services Apple
[2] Keychain Item Accessibility Constants Apple
[3] David Thiel iOS Application Security: The Definitive Guide for Hackers and Developers No Starch Press
[4] Standards Mapping - Common Weakness Enumeration CWE ID 359
[5] Standards Mapping - Common Weakness Enumeration Top 25 2019 [4] CWE ID 200
[6] Standards Mapping - Common Weakness Enumeration Top 25 2020 [7] CWE ID 200
[7] Standards Mapping - Common Weakness Enumeration Top 25 2021 [20] CWE ID 200
[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [17] CWE ID 200
[9] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection
[10] Standards Mapping - OWASP Application Security Verification Standard 4.0 8.2.2 Client-side Data Protection (L1 L2 L3), 8.3.4 Sensitive Private Data (L1 L2 L3), 10.2.1 Malicious Code Search (L2 L3)
[11] Standards Mapping - OWASP Mobile 2024 M9 Insecure Data Storage
[12] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-2, MASVS-STORAGE-2
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 3.3.1, Requirement 3.5.1, Requirement 4.2.2, Requirement 6.2.4, Requirement 8.3.1
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 3.3.1, Requirement 3.3.2, Requirement 3.3.3, Requirement 3.5.1, Requirement 4.2.2, Requirement 6.2.4, Requirement 8.3.1
desc.dataflow.objc.insecure_storage_unspecified_keychain_access_policy
Abstract
El método identificado almacena los datos en las llaves sin especificar un nivel de accesibilidad.
Explanation
Cuando se almacenan los datos en las llaves, es necesario configurar un nivel de accesibilidad que defina cuándo será posible acceder al elemento. Los niveles de accesibilidad posibles incluyen los siguientes:

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAlways:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
Solo se puede acceder a los datos de las llaves cuando el dispositivo está desbloqueado. Solo está disponible si se configura un código de acceso en el dispositivo.
Esta opción se recomienda para los elementos a los que solo es necesario tener acceso mientras la aplicación está en primer plano. Los elementos con este atributo nunca migran a un dispositivo nuevo. Tras restaurar una copia de seguridad en un dispositivo nuevo, no se encuentran estos elementos. Ningún elemento puede almacenarse en esta clase en los dispositivos sin un código de acceso. Si se deshabilita el código de acceso del dispositivo, se eliminan todos los elementos de esta clase.
Disponible en iOS 8.0 y posteriores.

-kSecAttrAccessibleAlwaysThisDeviceOnly:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlocked:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Este es el valor predeterminado para los elementos de las llaves que se agregan sin configurar de forma explícita una constante de accesibilidad.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

Cuando las protecciones de las llaves se introdujeron por primera vez, el valor predeterminado era kSecAttrAccessibleAlways, lo que creaba un problema de seguridad ya que si alguien tenía acceso a su dispositivo o lo robaba podía leer el contenido de las llaves. En la actualidad, el atributo predeterminado es kSecAttrAccessibleWhenUnlocked, que es un valor predeterminado razonablemente restrictivo. Sin embargo, la documentación pública de Apple no está de acuerdo sobre cuál debe ser el atributo predeterminado. Por lo tanto, como precaución, debe configurar este atributo de manera explícita en todos los elementos de las llaves.

Ejemplo 1: en el siguiente ejemplo, el elemento de las llaves se almacena sin especificar claramente un nivel de accesibilidad que podrá tener un comportamiento distinto en las distintas versiones de iOS:


...
    // Configure Keychain Item
    let token = "secret"
    var query = [String : AnyObject]()
    query[kSecClass as String] = kSecClassGenericPassword
    query[kSecValueData as String] = token as AnyObject?

    SecItemAdd(query as CFDictionary, nil)
...
References
[1] Keychain Services Apple
[2] Keychain Item Accessibility Constants Apple
[3] David Thiel iOS Application Security: The Definitive Guide for Hackers and Developers No Starch Press
[4] Standards Mapping - Common Weakness Enumeration CWE ID 359
[5] Standards Mapping - Common Weakness Enumeration Top 25 2019 [4] CWE ID 200
[6] Standards Mapping - Common Weakness Enumeration Top 25 2020 [7] CWE ID 200
[7] Standards Mapping - Common Weakness Enumeration Top 25 2021 [20] CWE ID 200
[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [17] CWE ID 200
[9] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection
[10] Standards Mapping - OWASP Application Security Verification Standard 4.0 8.2.2 Client-side Data Protection (L1 L2 L3), 8.3.4 Sensitive Private Data (L1 L2 L3), 10.2.1 Malicious Code Search (L2 L3)
[11] Standards Mapping - OWASP Mobile 2024 M9 Insecure Data Storage
[12] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-2, MASVS-STORAGE-2
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 3.3.1, Requirement 3.5.1, Requirement 4.2.2, Requirement 6.2.4, Requirement 8.3.1
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 3.3.1, Requirement 3.3.2, Requirement 3.3.3, Requirement 3.5.1, Requirement 4.2.2, Requirement 6.2.4, Requirement 8.3.1
desc.dataflow.swift.insecure_storage_unspecified_keychain_access_policy