界: API Abuse

API 就像是呼叫者與被呼叫者之間簽訂的規定。最常見的 API 濫用形式是由呼叫者這一當事方未能遵守此規定所造成的。例如，如果程式在呼叫 chroot() 後無法呼叫 chdir()，即違反規範如何以安全方式變更使用中根目錄的規定。程式庫濫用的另一個好例子是期待被呼叫者向呼叫者傳回值得信賴的 DNS 資訊。在這種情況下，呼叫者是透過對其行為做出某些假設 (傳回值可用於驗證目的) 來濫用被呼叫者 API。另一方也可能違反呼叫者與被呼叫者間的規定。例如，如果編碼器衍生出子類別 SecureRandom 並傳回一個非隨機值，則違反了規定。

Biometric Authentication: Missing Operation Message

Objective-C
Swift

Abstract

應用程式要求使用者輸入其指紋，但未提供正當理由。

Explanation

根據 Apple 的策略，應用程式應總是向使用者解釋要求其輸入指紋的原因。如果沒有這樣做，可能會讓使用者感到困惑，甚至使應用程式在 AppStore 中遭到拒絕。

範例 1：以下程式碼使用 Touch ID 來驗證使用者，但未提供本地化原因來解釋為什麼要求進行驗證。


    [context evaluatePolicy:LAPolicyDeviceOwnerAuthenticationWithBiometrics localizedReason:nil
        reply:^(BOOL success, NSError *error) {
            if (success) {
                NSLog(@"Auth was OK");
            } 
    }];

References

[1] David Thiel iOS Application Security: The Definitive Guide for Hackers and Developers No Starch Press

[2] Keychain and Authentication with Touch ID Apple

[3] https://developer.apple.com/reference/localauthentication/lacontext Apple

[4] Standards Mapping - CIS Azure Kubernetes Service Benchmark 1.0

[5] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 4.0

[6] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 3

[7] Standards Mapping - CIS Google Kubernetes Engine Benchmark normal

[8] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[9] Standards Mapping - OWASP Mobile 2024 M3 Insecure Authentication/Authorization

[10] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-1, MASVS-AUTH-2

desc.structural.objc.biometric_authentication_missing_operation_message

Abstract

應用程式要求使用者輸入其指紋，但未提供正當理由。

Explanation


    context.evaluatePolicy(LAPolicy.DeviceOwnerAuthenticationWithBiometrics, localizedReason: "", reply: { (success, error) -> Void in
        if (success) {
            print("Auth was OK");
        }
        else {
            print("Error received: %d", error!);
        }
    })