界: Encapsulation

封裝是要劃定清楚的界限。在網頁瀏覽器中，這可能意味著確保您的行動程式碼不會被其他行動程式碼濫用。在伺服器上，這可能意味著區分經過驗證的資料與未經驗證的資料、區分一個使用者的資料與另一個使用者的資料，或區分允許使用者查看的資料與不允許查看的資料。

Insecure Storage: Lacking Keychain Protection

Objective-C
Swift

Abstract

所識別的方法將資料儲存於加密設定不足的金鑰鏈中。

Explanation

金鑰鏈可存取性常數設計為允許應用程式藉此宣告何時可以存取金鑰鏈中的項目。藉由將其中一種可存取性常數指定給某個指定金鑰鏈項目，開發人員可以指示基礎檔案系統使用衍生自裝置 UID 和使用者密碼的金鑰，或是使用完全以裝置 UID 為基礎的金鑰，對該項目進行加密 (以及何時自動對其進行解密)。

這意味著金鑰鏈可存取性常數應指定為金鑰鏈屬性字典中 kSecAttrAccessible 金鑰的值。各個金鑰鏈可存取性常數的定義如下所示：

-kSecAttrAccessibleAfterFirstUnlock:
重新啟動後，無法存取金鑰鏈項目中的資料，直到使用者進行一次裝置解除鎖定。
首次解除鎖定後，資料會保持可存取狀態，直到下次重新啟動。對於背景應用程式需要存取的項目，建議這樣做。使用加密的備份時，具有此屬性的項目會移轉至新裝置。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
重新啟動後，無法存取金鑰鏈項目中的資料，直到使用者進行一次裝置解除鎖定。
首次解除鎖定後，資料會保持可存取狀態，直到下次重新啟動。對於背景應用程式需要存取的項目，建議這樣做。具有此屬性的項目不會移轉至新裝置。因此，從不同裝置的備份還原後，不會顯示這些項目。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleAlways:
不論裝置是否已鎖定，始終可以存取金鑰鏈項目中的資料。
如果使用應用程式，則不建議這樣做。使用加密的備份時，具有此屬性的項目會移轉至新裝置。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
金鑰鏈中的資料僅在裝置解除鎖定時才可存取。僅當裝置設定有密碼時才可使用。
對於只需在應用程式於前景執行時可供存取的項目，建議這樣做。具有此屬性的項目絕不會移轉至新裝置。備份還原至新裝置後，這些項目會遺失。對於未設定密碼的裝置，沒有任何項目可儲存在此類別中。停用裝置密碼會導致此類別中的所有項目遭到刪除。
可用於 iOS 8.0 及更新版本。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
不論裝置是否已鎖定，始終可以存取金鑰鏈項目中的資料。
如果使用應用程式，則不建議這樣做。具有此屬性的項目不會移轉至新裝置。因此，從不同裝置的備份還原後，不會顯示這些項目。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleWhenUnlocked:
金鑰鏈中的資料僅當使用者解除鎖定裝置時才可存取。
對於只需在應用程式於前景執行時可供存取的項目，建議這樣做。使用加密的備份時，具有此屬性的項目會移轉至新裝置。
這是在未明確設定可存取性常數時新增的金鑰鏈項目的預設值。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
金鑰鏈中的資料僅當使用者解除鎖定裝置時才可存取。
對於只需在應用程式於前景執行時可供存取的項目，建議這樣做。具有此屬性的項目不會移轉至新裝置。因此，從不同裝置的備份還原後，不會顯示這些項目。
可用於 iOS 4.0 及更新版本。

即使 iOS 裝置上的所有檔案 (包括未明確指派有金鑰鏈可存取性常數的檔案) 都以加密格式儲存，指定 kSecAttrAccessibleAlways 也會導致使用完全以裝置 UID 為基礎的衍生金鑰進行加密。如此一來，在裝置開機的任何時候 (包括以密碼鎖定時或正在開機時)，此類檔案都會處於可存取的狀態。因此，使用 kSecAttrAccessibleAlways 時應該仔細進行檢閱，確定是否能保證具有較嚴格金鑰鏈可存取性層級的進一步保護。

範例 1：在以下範例中，指定的檔案未受保護 (只要裝置開機便可存取)：


...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAlways forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

References

[1] iOS Security Guide Apple: October 2014

[2] Keychain Services Apple

[3] Keychain Item Accessibility Constants Apple

[4] David Thiel iOS Application Security: The Definitive Guide for Hackers and Developers No Starch Press

[5] Standards Mapping - CIS Azure Kubernetes Service Benchmark 4.0

[6] Standards Mapping - CIS Microsoft Azure Foundations Benchmark partial

[7] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 5.0

[8] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 4

[9] Standards Mapping - CIS Google Kubernetes Engine Benchmark confidentiality

[10] Standards Mapping - CIS Kubernetes Benchmark complete

[11] Standards Mapping - Common Weakness Enumeration CWE ID 311, CWE ID 312, CWE ID 313, CWE ID 522

[12] Standards Mapping - Common Weakness Enumeration Top 25 2019 [13] CWE ID 287

[13] Standards Mapping - Common Weakness Enumeration Top 25 2020 [14] CWE ID 287, [18] CWE ID 522

[14] Standards Mapping - Common Weakness Enumeration Top 25 2021 [14] CWE ID 287, [21] CWE ID 522

[15] Standards Mapping - Common Weakness Enumeration Top 25 2022 [14] CWE ID 287

[16] Standards Mapping - Common Weakness Enumeration Top 25 2023 [13] CWE ID 287

[17] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001350, CCI-002475

[18] Standards Mapping - FIPS200 MP

[19] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection

[20] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-9 Protection of Audit Information (P1), SC-28 Protection of Information at Rest (P1)

[21] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-9 Protection of Audit Information, SC-28 Protection of Information at Rest

[22] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage

[23] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage

[24] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage

[25] Standards Mapping - OWASP Top 10 2013 A6 Sensitive Data Exposure

[26] Standards Mapping - OWASP Top 10 2017 A3 Sensitive Data Exposure

[27] Standards Mapping - OWASP Top 10 2021 A02 Cryptographic Failures

[28] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.6.3 Look-up Secret Verifier Requirements (L2 L3), 2.7.1 Out of Band Verifier Requirements (L1 L2 L3), 2.7.2 Out of Band Verifier Requirements (L1 L2 L3), 2.7.3 Out of Band Verifier Requirements (L1 L2 L3), 2.8.4 Single or Multi Factor One Time Verifier Requirements (L2 L3), 2.8.5 Single or Multi Factor One Time Verifier Requirements (L2 L3), 2.10.2 Service Authentication Requirements (L2 L3), 2.10.3 Service Authentication Requirements (L2 L3), 3.7.1 Defenses Against Session Management Exploits (L1 L2 L3), 6.1.1 Data Classification (L2 L3), 6.1.2 Data Classification (L2 L3), 6.1.3 Data Classification (L2 L3), 6.2.1 Algorithms (L1 L2 L3), 8.1.6 General Data Protection (L3), 8.2.2 Client-side Data Protection (L1 L2 L3), 9.2.3 Server Communications Security Requirements (L2 L3)

[29] Standards Mapping - OWASP Mobile 2014 M2 Insecure Data Storage

[30] Standards Mapping - OWASP Mobile 2024 M9 Insecure Data Storage

[31] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-STORAGE-1

[32] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.3

[33] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.3

[34] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.3

[35] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.3

[36] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[37] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography

[38] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[39] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[40] Standards Mapping - SANS Top 25 2010 Porous Defenses - CWE ID 311

[41] Standards Mapping - SANS Top 25 2011 Porous Defenses - CWE ID 311

[42] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3210.1 CAT II, APP3310 CAT I, APP3340 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3210.1 CAT II, APP3340 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3210.1 CAT II, APP3340 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3210.1 CAT II, APP3340 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3210.1 CAT II, APP3340 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3210.1 CAT II, APP3340 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3210.1 CAT II, APP3340 CAT I

[49] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[53] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[54] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[55] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[56] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[57] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[58] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[59] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[60] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[61] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[62] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II

[63] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)

desc.dataflow.objc.insecure_storage_lacking_keychain_protection

Abstract

所識別的方法將資料儲存於加密設定不足的金鑰鏈中。

Explanation

金鑰鏈可存取性常數設計為允許應用程式藉此宣告何時可以存取金鑰鏈中的項目。藉由將其中一種可存取性常數指定給指定金鑰鏈項目，開發人員可以指示基礎檔案系統使用衍生自裝置 UID 和使用者密碼的金鑰，或是使用完全以裝置 UID 為基礎的金鑰，對該項目進行加密 (以及何時自動對其進行解密)。

這意味著金鑰鏈可存取性常數應指定為金鑰鏈屬性字典中 kSecAttrAccessible 金鑰的值。各個金鑰鏈可存取性常數的定義如下所示：

-kSecAttrAccessibleAfterFirstUnlock:
重新啟動後，無法存取金鑰鏈項目中的資料，直到使用者進行一次裝置解除鎖定。
首次解除鎖定後，資料會保持可存取狀態，直到下次重新啟動。對於背景應用程式需要存取的項目，建議這樣做。使用加密的備份時，具有此屬性的項目會移轉至新裝置。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
重新啟動後，無法存取金鑰鏈項目中的資料，直到使用者進行一次裝置解除鎖定。
首次解除鎖定後，資料會保持可存取狀態，直到下次重新啟動。對於背景應用程式需要存取的項目，建議這樣做。具有此屬性的項目不會移轉至新裝置。因此，從不同裝置的備份還原後，不會顯示這些項目。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleAlways:
不論裝置是否已鎖定，始終可以存取金鑰鏈項目中的資料。
如果使用應用程式，則不建議這樣做。使用加密的備份時，具有此屬性的項目會移轉至新裝置。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
金鑰鏈中的資料僅在裝置解除鎖定時才可存取。僅當裝置設定有密碼時才可使用。
對於只需在應用程式於前景執行時可供存取的項目，建議這樣做。具有此屬性的項目絕不會移轉至新裝置。備份還原至新裝置後，這些項目會遺失。對於未設定密碼的裝置，沒有任何項目可儲存在此類別中。停用裝置密碼會導致此類別中的所有項目遭到刪除。
可用於 iOS 8.0 及更新版本。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
不論裝置是否已鎖定，始終可以存取金鑰鏈項目中的資料。
如果使用應用程式，則不建議這樣做。具有此屬性的項目不會移轉至新裝置。因此，從不同裝置的備份還原後，不會顯示這些項目。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleWhenUnlocked:
金鑰鏈中的資料僅當使用者解除鎖定裝置時才可存取。
對於只需在應用程式於前景執行時可供存取的項目，建議這樣做。使用加密的備份時，具有此屬性的項目會移轉至新裝置。
這是在未明確設定可存取性常數時新增的金鑰鏈項目的預設值。
可用於 iOS 4.0 及更新版本。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
金鑰鏈中的資料僅當使用者解除鎖定裝置時才可存取。
對於只需在應用程式於前景執行時可供存取的項目，建議這樣做。具有此屬性的項目不會移轉至新裝置。因此，從不同裝置的備份還原後，不會顯示這些項目。
可用於 iOS 4.0 及更新版本。

即使 iOS 裝置上的所有檔案 (包括未明確指派有金鑰鏈可存取性常數的檔案) 都以加密格式儲存，指定 kSecAttrAccessibleAlways 也會導致使用完全以裝置 UID 為基礎的衍生金鑰進行加密。如此一來，在裝置開機的任何時候 (包括以密碼鎖定時或正在開機時)，此類檔案都會處於可存取的狀態。因此，使用 kSecAttrAccessibleAlways 時應該仔細進行檢閱，確定是否能保證具有較嚴格金鑰鏈可存取性層級的進一步保護。

範例 1：在以下範例中，指定的檔案未受保護 (只要裝置開機便可存取)：


...
    // Configure KeyChain Item
    let token = "secret"
    var query = [String : AnyObject]()
    query[kSecClass as String] = kSecClassGenericPassword
    query[kSecValueData as String] = token as AnyObject?
    ...
    query[kSecAttrAccessible as String] = kSecAttrAccessibleAlways

    SecItemAdd(query as CFDictionary, nil)
...