iOS移动应用程序中的安全漏洞问题。以下是 https://www.immuniweb.com/mobile 的结果:可预测随机数生成器 CWE-338
详:
文件: ios/Payload/ios.app/FridaGadget.dylib 二进制匹配用法 "随机"函数/方法。"srand"的二进制匹配用法 函数/方法。文件: ios/Payload/ios.app/ios 二进制匹配用法 "随机"函数/方法。文件: ios/Payload/ios.app/Frameworks/libswiftCore.dylib 二进制匹配用法 的"随机"功能/方法。文件: ios/Payload/ios.app/Frameworks/libswiftFoundation.dylib 二进制匹配 使用"随机"函数/方法。文件: ios/SwiftSupport/iphoneos/libswiftCore.dylib 二进制匹配用法 "随机"函数/方法。文件: ios/SwiftSupport/iphoneos/libswiftFoundation.dylib 二进制匹配用法 的"随机"功能/方法。
如何克服这个问题?请帮忙,提前谢谢。
这似乎是一次过分热心的安全扫描。它发现一些库正在使用 C 函数random用于某些内部用途,但由于这种用法在 libswiftCore 和其他各种库中,我们不知道这些函数实际上是如何使用的,因此既不可能修复,也不可能知道它是否真的有问题。
使用"不安全的随机"功能在屏幕上生成随机颜色以进行显示,不会是安全问题。 我们不需要加密安全的随机数生成器来完成这项任务,即使可以预测它也不会成为问题。
因此,这完全取决于应用程序的使用情况,以及每个库将如何使用该随机函数。 如果你的应用程序是用 Swift 编写的,我会屏蔽这个警告。