摘 要：目前，iOS 安全研究主要在應用程序安全性檢測、安全模型剖析、漏洞和數據保護機制分析等方面，對于iOS 備份機制的安全性缺乏深入系統地研究。備份是iOS 系統中惟一合法獲得設備內部數據的渠道，但是備份數據缺少必要防護措施，用戶數據安全和隱私受到潛在威脅。通過描述備份分析的方法，進而對備份存儲數據進行深入理解，發現其存在嚴重隱私威脅，忽視對第三方應用程序數據信息的保護，最后評估了備份機制潛在的安全影響并給出提高備份安全性的建議。

　　0 引言

　　隨著移動智能終端的日漸普及，人們開始對它的功能需求有了進一步的提高。新一代的智能移動終端除了語音通信之外，還能播放影音、瀏覽網頁、游戲娛樂等。更重要的是，用戶可以從電子市場上下載并安裝第三方開發的應用程序。在所有的智能移動設備中，蘋果的iPhONe 和iPad 深受用戶和安全研究人員關注。這些設備的核心是其中的操作系統--iOS.

　　由于蘋果對iOS 采取閉源不公開的政策，開發人員和用戶對其安全機制了解甚少。目前安全研究人員給出了一些安全模型［1］和數據保護機制［2］的細節，但仍較難獲取iOS 內部的信息。黑客社區工作者挖掘系統漏洞［3］、分析沙箱模型和數據加密［4］。

　　電子取證專家通常需要通過越獄來獲得他們需要的信息，但越獄會改變系統原有的狀態，所以他們更傾向于非入侵的方式。

　　雖然蘋果有著嚴格的安全保護措施以避免數據泄漏，但它留下了一條供用戶進行數據讀寫的通道。這就是iTunes 的同步、備份與恢復機制，其中最值得關注的就是備份。iTunes 會自動為iOS 設備創建備份，日后如需恢復到以前備份的狀態則可使用此備份。備份可以進行任意的復制，用于在其他機器上進行恢復。iTunes 的備份恢復機制為用戶帶來了便利也產生了安全問題。通過備份，大量的數據保存到用戶電腦中，對用戶隱私造成威脅。然而學術界的研究集中在檢測在iOS 應用程序中的隱私泄漏［5］，備份機制的研究僅局限于取證分析［6-7］。文獻［8-9］從iOS 備份機制著手，分析備份機制中存在的隱私泄露威脅。

　　1 備份分析方法

　　這里主要描述分析備份中隱私數據的方法。分析過程分成3 個步驟：①生成備份；②解析備份；③分析備份。過程如圖1 所示。

　　圖1 iOS 備份解析過程

　　1.1 生成備份

　　iPhone 或iPad 連接到電腦的時候，iTunes 將自動同步電腦與設備之中的數據，創建一個備份。也就是說，如果iOS 設備曾經與裝有iTunes 的電腦連接過，那么備份文件已經保存在電腦中備份目錄。

　　如果沒有備份，則通過如下兩種不同的方法來創建備份。第一種是使用iTunes 或者iTunes 提供的AppleMobileBackup.exe 來進行備份。iTunes 與iOS 設備之間通過蘋果文件通信（AFC，Apple FileCommunicATIon）協議來進行通信。另一種創建備份的方法是使用LibimobileDevice，它是一個支持AFC 數據交互協議的C 語言庫。它支持iOS 的備份功能，還支持同步，獲取系統信息等功能。所以這也是一種創建備份的方法，這種方式的好處是它并不依賴于Windows，在Linux 下同樣可以運行，開發者可以更自由地控制它的通信。

　　1.2 解析備份

　　iOS 備份目錄名是被備份設備的惟一設備標識符（UDID，Unique Device IdenTIfication）。它由40位16 進制字符組成，如：2b6f0cc904d137be2e1730235f5664094b831186.備份目錄下的文件名都通過SHA-1 哈希編碼，所以無法辨別文件信息。利用備份中的Manifest.mbdb 和Manifest.mbdx 文件可以解析出備份的結構。

　　Manifest.mbdb 是備份的索引文件。它由一個定長的頭部和若干定長的記錄構成。

　　Manifest.mbdx 記錄著文件信息，如：文件所在域、路徑，哈希值，文件大小等。

　　1.3 分析備份

　　遍歷經過解析后的備份目錄，分析檢查可疑文件。備份中大量的數據都是用iOS 原生支持的Sqlite 數據庫格式保存，文中使用Sqlite DatabaseBrowser 來分析這些文件中的內容。Property List（Plist）也是iOS 支持的文件格式，它用來保存配置信息，使用Plist Editor 來讀取其中的信息。

　　2 備份中的隱私信息

　　這里主要總結分析的結果，重點關 注與用戶隱私相關的信息。這些信息分成兩大類，系統內置信息和第三方應用程序信息。