与iOS推送通知证书绑定的安全风险
问题描述:
我有与iOS推送通知证书相关的安全问题。当我将证书导出为p12并与Google Cloud Messaging共享时,如果有人获得了p12文件,那么存在哪些潜在风险?我想可能有人想恶意破解与p12相关的密码并获得推送通知证书的访问权限,但他们还需要从我的应用生成有效的设备推送令牌,以便将任何“黑客入侵”推送通知发送到我的应用用户,对吗?这是唯一的风险,还是有关于我应该关注的p12文件的其他信息?与iOS推送通知证书绑定的安全风险
我意识到苹果现在提供了另一种使用推送通知键的方法,这可能是更好的方法,但现在我只是想了解推送证书可能存在的潜在风险,如果在“错手“。
答
他们可以运行此命令提取从P12容器私钥:
openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem
那么,能不能有人再使用私钥做一次提取? – Jason
泄漏的密钥允许攻击者解密任何过去和将来的受保护服务流量,并随意冒充服务。可以绕过X.509证书中加密和签名提供的任何保护。从此泄漏中恢复需要修补漏洞,撤销受损密钥并重新发布和重新分配新密钥。 –
只是为了明确风险服务的范围将仅限于推送通知服务?有人可能会拦截我们发送通知的请求,并使用该信息劫持请求并查看作为其一部分的任何数据?他们还可以使用截获的请求创建自己的推送通知,以代表我们发送?如果所有请求都是通过安全(https)连接发送的,那么考虑使用证书路由进行推送通知时,所有这些情况发生的风险是否会很小? – Jason