Sicuro di pubblicare i registri degli arresti anomali di iOS in pubblico?

8

Una delle app iOS che utilizzo si è bloccata molto più del solito ultimamente, quindi sto pubblicando sul loro forum. Ho un sacco di registri degli arresti anomali.

È sicuro pubblicare i log degli arresti anomali di iOS in un luogo pubblico? C'è qualche PII in loro?

Vedo molti hash in loro. Sono completamente arbitrari / casuali o contengono il mio indirizzo hardware o qualcosa del genere?

applications  ios  security  crash  logs 
comprensione
fonte
Se inserisci le PII in esse, ovviamente il crash potrebbe benissimo contenerle. Non c'è nulla che impedisca al programmatore di accedere ai dati di rete o dei dispositivi all'interno del loro programma, quindi dovresti avere accesso al codice sorgente dell'app per sapere se un incidente particolare avrebbe problemi di privacy.
bmike

Risposte:

5

I registri degli arresti anomali sono sicuri da pubblicare in pubblico. Non ci sono informazioni identificative su di te al loro interno. Tutto il testo casuale che vedi sono indirizzi dei vari metodi che vengono simbolizzati da Xcode in nomi di metodi. Ciò consente agli sviluppatori di vedere la riga esatta di codice che ha causato il problema.

Inoltre, è più difficile simboleggiare i registri degli arresti anomali che sono stati copiati e incollati. Sarebbe più utile per gli sviluppatori ottenere i log degli arresti anomali nel file .crash originale. Sembra che questo non sia più il caso, non ho avuto problemi a copiare e incollare un registro degli arresti anomali e simbolizzare usando l'ultimo Xcode.

Ben Baron
fonte
Questo non è corretto: i .crashfile sono solo file di testo semplice. I registri degli arresti anomali copiati e incollati possono essere semplicemente salvati come .crashfile e visualizzati nel normale visualizzatore. Non che questo abbia effettivamente dei vantaggi. L'unico potenziale problema è la perdita di formattazione quando la copia e incolla rimuovevano gli spazi bianchi eccessivi.
Konrad Rudolph,
Almeno nella mia esperienza personale, non sono mai stato in grado di ottenere i registri degli arresti incollati per simboleggiare in Xcode. A meno che qualcosa non sia cambiato nelle versioni Xcode più recenti per consentire ciò, non funzionerà. Quando si tenta di incollare il contenuto di un registro degli arresti anomali in un nuovo file e salvarlo come .crash, l'organizzatore Xcode lo ignora e deve essere simbolizzato a mano tramite la riga di comando che è frustrante.
Ben Baron,
1
Non sono sicuro di ciò che hai fatto (sbagliato) ma i .crashfile sono solo file di testo. Puoi verificarlo facilmente.
Konrad Rudolph,
Ho fatto un altro test con l'ultimo Xcode e simboleggiava un registro crash / copia / incollato. Quindi questo non sembra più essere un problema, ma quando stavo usando Xcode 3, giuro che ho avuto problemi con qualsiasi copia / registro incollato. Non sono sicuro di quale fosse il problema, ma non hanno funzionato per qualche motivo.
Ben Baron,
È inutile pubblicare un rapporto di arresto anomalo. Rispondere che è sicuro se non è simbolizzato è come dire che fumare è sicuro se non si accende la sigaretta.
Declan McKenna il
2

No, non è universalmente o inequivocabilmente sicuro.

Qualsiasi programmatore potrebbe salvare chiaramente dati molto personali, quindi sei in balia di progettisti e programmatori per disinfettare e non esporre alcun dato personale in caso di incidente.

La sicurezza per oscurità (i valori sono esadecimali) è piuttosto buona e la possibilità che qualcosa di sensibile venga esposto è molto bassa, ma condividere pubblicamente un rapporto sugli arresti anomali potrebbe essere pericoloso per la tua privacy.

Direi di non pubblicare nulla fino a quando non si capisce veramente cos'è un GUID del dispositivo e come leggere una traccia dello stack o caratteri esadecimali. Inoltre, il rischio è direttamente influenzato dalla natura del programma. Tiny Wings non sa nulla perché non gli ho detto nulla. È anche improbabile che abbia scansionato la mia rubrica o le informazioni sulla posizione / contatto.

D'altra parte, il mio programma bancario deve memorizzare i numeri PIN e le cose che inserisco chiaramente prima di crittografarle. 1Password funziona con dati sensibili come il mio numero di previdenza sociale. Anche se il programma potrebbe eventualmente archiviare i dati crittografati - un rapporto di arresto anomalo può bloccarsi nel punto in cui i dati vengono trasformati in qualcosa che si vede chiaramente sullo schermo - una sequenza di cifre. Fondamentalmente, per un momento fugace, i dati non sono protetti.

La domanda generale "È sicuro postare?" deve essere no senza altre qualifiche sui dati memorizzati nell'app. Soprattutto quando lo pubblichi su qualcosa di così pubblico e permanente come Internet.

bmike
fonte
ascolta ascolta, a meno che tu non abbia effettivamente esaminato da solo tutti i dati esposti e quindi non hai bisogno del consiglio, non puoi davvero avere garanzie.
ConstantineK,
Stai affermando che i dati privati ​​(valori di istanza) vanno in Stack Traces? So che il GUID del dispositivo lo fa, ma cos'altro pretendi va in una traccia dello stack privata?
Jason Salaz,
No - le regole dell'app store tentano di impedire questo tipo di cose (codice auto-modificante e tutto) - ma nulla impedisce questo se il programmatore vuole essere creativo nella codifica dei dati per il debug remoto. È molto improbabile, ma i dati sui registri ARM potrebbero essere privati. Altamente, molto improbabile - forse dovrei modificare la mia risposta per essere meno forte? Non vorrei che i miei registri degli arresti anomali aggregati o la chiave CrashReporter fossero record pubblici. Il rapporto sugli arresti anomali è stato intenzionalmente progettato per non condividere dati privati, ma i programmi si arrestano in modo anomalo quando non si comportano come previsto.
bmike
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.