Sicher, iOS-Absturzprotokolle öffentlich zu veröffentlichen?

8

Eine der iOS-Apps, die ich verwende, stürzte in letzter Zeit viel häufiger als gewöhnlich ab, daher poste ich darüber in ihrem Forum. Ich habe ein paar Absturzprotokolle.

Ist es sicher, iOS-Absturzprotokolle an einem öffentlichen Ort zu veröffentlichen? Gibt es PII in ihnen?

Ich sehe viele Hashes in ihnen. Sind sie völlig willkürlich / zufällig oder enthalten sie meine Hardwareadresse oder so?

applications ios security crash logs Ken
quelle
Wenn Sie PII eingeben, kann der Absturz diese natürlich sehr gut enthalten. Nichts hindert den Programmierer daran, auf Netzwerk- oder Gerätedaten in seinem Programm zuzugreifen. Sie müssten also Zugriff auf den Quellcode der App haben, um zu wissen, ob ein bestimmter Absturz Datenschutzbedenken hätte.
bmike

Antworten:

5

Absturzprotokolle können sicher in der Öffentlichkeit veröffentlicht werden. Es gibt keine identifizierenden Informationen über Sie in ihnen. Der gesamte zufällig aussehende Text, den Sie sehen, sind Adressen der verschiedenen Methoden, die durch Xcode in Methodennamen symbolisiert werden. Auf diese Weise können die Entwickler die genaue Codezeile sehen, die das Problem verursacht hat.

Außerdem ist es schwieriger, Absturzprotokolle zu symbolisieren, die kopiert und eingefügt wurden. Für die Entwickler wäre es hilfreicher, Ihre Absturzprotokolle in der ursprünglichen .crash-Datei abzurufen. Es sieht so aus, als ob dies nicht mehr der Fall ist. Ich hatte kein Problem damit, ein Absturzprotokoll zu kopieren, einzufügen und mit dem neuesten Xcode zu symbolisieren.

Ben Baron
quelle
Dies ist nicht korrekt: .crashDateien sind nur reine Textdateien. Kopierte und eingefügte Absturzprotokolle können einfach als .crashDateien gespeichert und im normalen Viewer angezeigt werden. Nicht, dass dies tatsächlich irgendwelche Vorteile hätte. Das einzige potenzielle Problem ist der Verlust der Formatierung, wenn beim Kopieren und Einfügen übermäßige Leerzeichen entfernt werden.
Konrad Rudolph
Zumindest nach meiner persönlichen Erfahrung war es mir nie möglich, Absturzprotokolle einzufügen, um sie in Xcode zu symbolisieren. Solange sich in den neueren Xcode-Versionen nichts geändert hat, funktioniert dies nicht. Wenn Sie versuchen, den Inhalt eines Absturzprotokolls in eine neue Datei einzufügen und als .crash zu speichern, ignoriert Xcode Organizer dies und es muss von Hand über die Befehlszeile symbolisiert werden, was frustrierend ist.
Ben Baron
1
Nicht sicher, was Sie getan haben (falsch), aber .crashDateien sind nur Textdateien. Sie können dies leicht überprüfen.
Konrad Rudolph
Ich habe einen weiteren Test mit dem neuesten Xcode durchgeführt, der ein kopiertes / eingefügtes Absturzprotokoll symbolisiert. Das scheint also kein Problem mehr zu sein, aber als ich Xcode 3 verwendete, schwöre ich, dass ich Probleme mit dem Kopieren / Einfügen von Protokollen hatte. Ich bin mir nicht sicher, was das Problem war, aber sie haben aus irgendeinem Grund nicht funktioniert.
Ben Baron
Es macht wenig Sinn, einen nicht symbolisierten Absturzbericht zu veröffentlichen. Die Antwort, dass es sicher ist, wenn es nicht symbolisiert ist, bedeutet zu sagen, dass Rauchen sicher ist, wenn Sie die Zigarette nicht anzünden.
Declan McKenna
2

Nein - es ist nicht universell oder eindeutig sicher.

Jeder Programmierer kann sehr persönliche Daten einfach speichern, sodass Sie den Designern und Programmierern ausgeliefert sind, um persönliche Daten zu bereinigen und bei einem Absturz keine persönlichen Daten preiszugeben.

Die Sicherheit durch Dunkelheit (Werte sind hexadezimal) ist ziemlich gut und die Wahrscheinlichkeit, dass etwas Sensibles freigelegt wird, ist sehr gering. Das öffentliche Teilen eines Absturzberichts kann jedoch Ihre Privatsphäre gefährden.

Ich würde sagen, poste nichts, bis du wirklich verstehst, was eine Geräte-GUID ist und wie man einen Stack-Trace oder hexadezimale Zeichen liest. Auch Ihr Risiko wird direkt von der Art des Programms beeinflusst. Tiny Wings weiß nichts, weil ich nichts gesagt habe. Es ist auch unwahrscheinlich, dass mein Adressbuch oder meine Standort- / Kontaktinformationen gescannt wurden.

Auf der anderen Seite muss mein Bankprogramm PIN-Nummern und Dinge, die ich eingebe, klar speichern, bevor es sie verschlüsselt. 1Password funktioniert mit sensiblen Daten wie meiner Sozialversicherungsnummer. Auch wenn das Programm die Daten möglicherweise verschlüsselt speichert - ein Absturzbericht kann an dem Punkt abstürzen, an dem die Daten in etwas umgewandelt werden, das Sie deutlich auf dem Bildschirm sehen - eine Folge von Ziffern. Grundsätzlich sind die Daten für einen flüchtigen Moment nicht geschützt.

Die allgemeine Frage "Ist es sicher zu posten?" muss nicht ohne andere qualifikationen auf die in der app gespeicherten daten sein. Vor allem, wenn Sie es in etwas veröffentlichen, das so öffentlich und dauerhaft ist wie das Internet.

bmike
quelle
hören hören hören, wenn Sie nicht alle exponierten Daten selbst durchgehen und daher keinen Rat benötigen, können Sie wirklich keine Garantien haben.
ConstantineK
Behaupten Sie, dass private Daten (Instanzwerte) in Stapelspuren gespeichert werden? Ich weiß, dass die Geräte-GUID funktioniert, aber was behauptet Sie noch, geht in einen privaten Stack-Trace?
Jason Salaz
Nein - die App Store-Regeln versuchen, solche Dinge zu verhindern (selbstmodifizierender Code und alles) - aber nichts verhindert dies, wenn der Programmierer kreativ in der Codierung von Daten für das Remote-Debugging werden möchte. Es ist sehr unwahrscheinlich, aber Daten in den ARM-Registern könnten privat sein. Sehr, sehr unwahrscheinlich - vielleicht sollte ich meine Antwort so bearbeiten, dass sie weniger stark ist? Ich möchte nicht, dass meine aggregierten Absturzprotokolle oder der CrashReporter-Schlüssel öffentlich aufgezeichnet werden. Der Absturzbericht wurde absichtlich so konzipiert, dass keine privaten Daten gemeinsam genutzt werden. Programme stürzen jedoch ab, wenn sie sich nicht wie geplant verhalten.
bmike