写点什么

黑客最讨厌的 5 个移动应用安全技术

2016 年 3 月 14 日

企业进程和实践操作的数字化是行业发展的趋势。越来越多的企业正在为员工和客户开发移动端的企业应用程序,这一趋势引起了生产商和黑客的共同关注。

Gartner 的研究主管 Dionisio Zumerle 表示,“移动环境是在不断发展的,会不断出现新的安全漏洞和威胁。应用程序开发人员缺乏移动环境的专业知识,并且倾向于使用传统的应用程序开发流程,将重点放在了功能上,就忽视了安全问题。”

为什么转移到移动设备之后一切会变得不同呢?首先,这些设备以及设备中存放的敏感数据都更加容易丢失或被盗;第二,利用移动设备漏洞创造的新型攻击不断涌现。相邻设备上安装的恶意软件都可以用来提取本设备中的敏感数据。电子窃听技术可以截获程序和企业之间通过无线传输的数据。黑客也可以重新打包应用,在其中添加恶意代码,然后重新上传到应用商店,这种攻击手段已经被广泛用于与银行有关的应用程序中。

下面列出了五种方法,首席信息安全员可以使用这些方法来保护自己企业应用的安全:

  1. 锁定应用程序权限。移动应用程序在与设备的硬件进行交互的时候都需要获取用户权限。允许程序连接到设备的摄像头或是麦克风固然方便,但也增加了安全风险。为了企业利益,信息安全员们需要严格控制每个应用程序执行其功能所需的权限。
  2. 不要仅仅依赖于客户端审查。用户身份检查和应用程序完整性检查不应该只是由客户端执行。黑客可以很容易地避开这些检查来访问存储在应用程序中的敏感数据。这些检查应该由服务器执行。如果有些信息真的很敏感,应该进行更加全面的文本检查,比如说尝试登陆的地理位置。
  3. 查看第三方的专业水平和测试频率。信息安全员们需要评估第三方处理移动应用程序安全问题的能力。有些企业会用内部资源来支持编码安全控件,但是这些企业可能会采用早期的攻击性强的技术。

对于大多数企业来说,内部创建的安全性是难以维护和发展的。信息安全员们应该考虑使用外部方式来构建安全代码。有时候可能需要聘请顾问或是云服务提供商。不管是单独完成,或是寻求外部支持,都需要在开发之前使用一个第三方工具测试应用程序的安全性。
4. 加固应用程序。逆向工程现在是一种常见技术,用于找出系统细节以及用恶意代码重新封装应用。要想阻止这种做法,你可以使用第三方工具来混淆软件代码,这样会让攻击者很难了解应用程序的具体操作。
5. 执行定期安全检查。需要持续关注安全问题,做法就是定期执行平台健康检查,来不断识别薄弱点。比如说,你可以检查内置应用程序沙盒是否遭到破坏,这样就可以知道是否有 iOS 设备已经越狱,是否有安卓设备已经 root。不过要记住保护用户隐私,可以考虑侵入性健康检查,在应用程序外围对程序的整体运行情况进行检查。

Gartner 客户可以阅读另一篇相关报告,即《避免移动程序开发中的安全陷阱》。Zumerle 先生会在2016 年3 月14 日-15 日在伦敦举行的 2016 年度 Gartner 身份 & 访问管理峰会上做出进一步分析。你可以在 Twitter 上使用#GartnerIAM 标签对事件的相关更新进行进一步了解。

查看英文原文: Five Mobile App Security Techniques Hackers Don’t Want You to Use


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2016 年 3 月 14 日 19:002122

评论

发布
暂无评论
发现更多内容

架构师训练营第二周学习总结

成长者

极客大学架构师训练营

家谱链-家谱族谱制作

WX13823153201

编程语言的本质

张荣召

基于 iOS14 系统的游戏卡顿问题解决方案

白开水

typescript 游戏开发 iOS14 游戏卡顿 ios开发

TensorFlow 篇 | TensorFlow 2.x 基于 Keras 的多节点分布式训练

Alex

tensorflow keras 分布式训练 AllReduce

2.框架设计-依赖倒置原则,接口隔离原则

博古通今小虾米

第二周

scorpion

架构师训练营第二周课程笔记及心得

Airs

架构一期第二周作业

Airs

第二周课后练习

jizhi7

极客大学架构师训练营第二周课后总结

jizhi7

Serverless 简介

木易杨

云计算 Serverless AWS

用家谱链记录家族信息

WX13823153201

使用Spring Cloud Stream玩转RabbitMQ,RocketMQ和Kafka

Barry的异想世界

kafka RocketMQ RabbitMQ 消息队列 spring cloud stream

第二周 框架设计作业

钟杰

极客大学架构师训练营

架构师训练营,第二周总结

子文

SOLID原则

架构师训练营 - 第二周总结

一个节点

极客大学架构师训练营

依赖倒置原则和接口隔离原则练习

知行合一

第二周 框架学习-作业

刘希文

优化Banner广告收入的7种策略

易观大数据

架构师训练营第二周学习总结

张荣召

架构师01期,第二周课后作业

子文

架构师训练营第 1 期 -- 第二周学习总结

发酵的死神

极客大学架构师训练营

举办线下活动现场管理需要注意哪些事项?

boshi

管理 探索与实践 活动专区

架构师训练营-第二周作业

一个节点

极客大学架构师训练营

揭秘开源项目 Apache Pulsar 如何挑战 Kafka

Apache Pulsar

kafka 开源 云原生 Apache Pulsar 消息中间件

第二周总结

Geek_ac4080

看动画学算法之:排序-基数排序

程序那些事

算法 数据结构和算法 看动画学算法 算法和数据结构

通过女朋友来通俗易懂讲解“接口回调”,一不小心就被绿

小松漫步

Java 编程 接口 代码

区块链交易所系统开发源码,交易所搭建app

WX13823153201

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

黑客最讨厌的5个移动应用安全技术-InfoQ