Проблема уязвимости безопасности в мобильном приложении ios

Question

Проблема уязвимости безопасности в мобильном приложении ios. Ниже приведен результат от https://www.immuniweb.com/mobile: Предсказуемый генератор случайных чисел CWE-338

Детали:

Файл: ios / Payload / ios.app / FridaGadget.dylib Использование двоичного соответствия «случайная» функция / метод. Двоичное совпадение использования 'srand' функция / метод. Файл: ios / Payload / ios.app / ios Использование двоичного соответствия «случайная» функция / метод. Файл: ios / Payload / ios.app / Frameworks / libswiftCore.dylib Использование двоичного соответствия «случайной» функции / метода. Файл: ios / Payload / ios.app / Frameworks / libswiftFoundation.dylib Двоичное совпадение использование «случайной» функции / метода. Файл: ios / SwiftSupport / iphoneos / libswiftCore.dylib Использование двоичного соответствия «случайная» функция / метод. Файл: ios / SwiftSupport / iphoneos / libswiftFoundation.dylib Использование двоичного соответствия «случайной» функции / метода.

Как это побороть? Пожалуйста, помогите в этом, спасибо заранее.

Answer 1

Это похоже на чрезмерное сканирование безопасности. Было обнаружено, что некоторые библиотеки используют функцию C random для некоторых своих внутренних целей, но так как это использование в libswiftCore и различных других библиотеках, и мы не знаем, как эти функции фактически используются, это невозможно исправить и невозможно чтобы узнать, действительно ли это проблематично.

Использование «небезопасной случайной» функции для генерации случайного цвета на экране для отображения не будет проблемой безопасности. Для этой задачи нам не нужен криптографически безопасный генератор случайных чисел, даже если его можно предсказать, это не будет проблемой.

Так что все зависит от использования приложения и от того, как каждая из этих библиотек будет использовать эту случайную функцию. Я бы отключил это предупреждение, если ваше приложение написано на Swift.