编者按：本文节选自华章网络空间安全技术丛书《物联网渗透测试》一书中的部分章节。

IoT移动应用威胁建模

在下一个威胁建模演练中，我们将对DVR系统中的IoT移动应用进行分析。代理商和不同的OEM为DVR系统（和IoT中的其他系统一样）开发了多套移动应用。出于演示的目的，我们只分别选择了一款Android应用和一款iOS应用进行威胁建模。

在前面的章节中，我们已经绘制了很多数据流图，本节中我们将继续使用微软威胁建模工具Threat Modeling Tool进行图表绘制。

步骤1　架构概况构建与分解

与之前绘制图表的步骤类似，这里我们直接展示构建完成的数据流图，其中包括了移动应用中的所有已知资产。图1是移动应用的数据流图。

可以看到，应用每次查看账户信息和摄像头视频时，都需要与第三方厂商的云平台建立连接，即使用户与DVR系统处于同一网络中。而远程访问DVR系统所需的用户名和口令就存储在移动设备中。在这里，我们尚不清楚同应用厂商后台系统通信时如何存储或发送这些数据。带着这些疑问，我们开展下一步工作，进行威胁识别。

图1　DVR系统移动应用数据流分解示意图

步骤2　威胁识别

步骤3　威胁建档

接下来，同之前的工作类似，我们将选取部分威胁用例并形成文档，评估其风险等级，见表1～表3。

威胁1

表1　威胁1

威胁描述	攻击者在移动设备中访问本地资源
威胁目标	移动应用
攻击技术	攻击者发现API通信中的漏洞，如果漏洞能够将WebView控件暴露给JavaScript bridge，那么攻击者进而就可以实现对本地对象的访问。攻击者还可以利用移动设备中的SQL注入漏洞连接本地SQLite数据库，并创建拥有本地资源访问权限的文件
对抗措施	在应用中禁用WebView控件中的JavaScript脚本，或者创建白名单，只接收白名单中的脚本。在应用中对用户输入进行验证，并禁用动态查询

威胁2

表2　威胁2

威胁描述	攻击者定位移动设备中用户以明文存储的敏感信息
威胁目标	移动应用
攻击技术	攻击者在运行时监控文件存储过程，并且截获到从厂商云平台同步到移动设备上的数据，从而导致敏感信息暴露
对抗措施	只在设备中存储需要用到的数据