当iOS应用程序易受中间人攻击时，保护其本地存储是否有意义？

我正在考虑改进iOS应用程序中的数据保护，首先我想确定我需要首先执行的步骤

我们的应用程序对本地存储的数据没有任何明确的保护-我们对简单的配置和设置使用NSUserDefaults，对存储在documents目录中的文件中的用户数据使用可编码对象

用户数据来自HTTPs上的API，我们只是以上述方式缓存它。我认为我需要改进的第一件事是实施最佳做法以确保本地存储的安全，但我开始怀疑这一点

请告知-我的想法正确吗

既然所有本地存储的数据都是API响应的反映，那么当任何用户都可以安装Charles并嗅探数据而不尝试攻击本地存储时，是否值得担心本地数据保护

如果本地数据==API数据，是否有任何优点可以保护本地存储，但仍然容易受到中间人攻击

---

提前感谢您的帮助

这个答案的长短取决于你的处境。在大多数情况下，公共api响应是公共的，因此我认为这是多余的，但是如果您使用令牌和密钥访问api，那么您的响应可能是私有的，并且特定于您的单个令牌/密钥组合。你的问题太广泛了。嗨，大卫，我的API是私有的，用JWT令牌保护。不过，如果坏人偷了用户的iPhone，打开我的应用程序，安装Charles root cert，嗅探所有流量以获取有价值的信息（JWT不会有帮助），而不是入侵应用程序的本地存储是没有问题的。重新表述我的问题-与我的情况中所有其他安全改进相比，中间人保护是第一件要做的事情吗？默认情况下，存储在设备上的数据在锁定时由设备上的加密保护。因此，除非攻击者拥有设备密码，否则他们无法在静止状态下访问数据。。在这种情况下，如果设备丢失，就没有什么可以做的了。