【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

黑客最讨厌的 5 个移动应用安全技术

  • 2016-03-14
  • 本文字数:1378 字

    阅读完需:约 5 分钟

企业进程和实践操作的数字化是行业发展的趋势。越来越多的企业正在为员工和客户开发移动端的企业应用程序,这一趋势引起了生产商和黑客的共同关注。

Gartner 的研究主管 Dionisio Zumerle 表示,“移动环境是在不断发展的,会不断出现新的安全漏洞和威胁。应用程序开发人员缺乏移动环境的专业知识,并且倾向于使用传统的应用程序开发流程,将重点放在了功能上,就忽视了安全问题。”

为什么转移到移动设备之后一切会变得不同呢?首先,这些设备以及设备中存放的敏感数据都更加容易丢失或被盗;第二,利用移动设备漏洞创造的新型攻击不断涌现。相邻设备上安装的恶意软件都可以用来提取本设备中的敏感数据。电子窃听技术可以截获程序和企业之间通过无线传输的数据。黑客也可以重新打包应用,在其中添加恶意代码,然后重新上传到应用商店,这种攻击手段已经被广泛用于与银行有关的应用程序中。

下面列出了五种方法,首席信息安全员可以使用这些方法来保护自己企业应用的安全:

  1. 锁定应用程序权限。移动应用程序在与设备的硬件进行交互的时候都需要获取用户权限。允许程序连接到设备的摄像头或是麦克风固然方便,但也增加了安全风险。为了企业利益,信息安全员们需要严格控制每个应用程序执行其功能所需的权限。
  2. 不要仅仅依赖于客户端审查。用户身份检查和应用程序完整性检查不应该只是由客户端执行。黑客可以很容易地避开这些检查来访问存储在应用程序中的敏感数据。这些检查应该由服务器执行。如果有些信息真的很敏感,应该进行更加全面的文本检查,比如说尝试登陆的地理位置。
  3. 查看第三方的专业水平和测试频率。信息安全员们需要评估第三方处理移动应用程序安全问题的能力。有些企业会用内部资源来支持编码安全控件,但是这些企业可能会采用早期的攻击性强的技术。

对于大多数企业来说,内部创建的安全性是难以维护和发展的。信息安全员们应该考虑使用外部方式来构建安全代码。有时候可能需要聘请顾问或是云服务提供商。不管是单独完成,或是寻求外部支持,都需要在开发之前使用一个第三方工具测试应用程序的安全性。
4. 加固应用程序。逆向工程现在是一种常见技术,用于找出系统细节以及用恶意代码重新封装应用。要想阻止这种做法,你可以使用第三方工具来混淆软件代码,这样会让攻击者很难了解应用程序的具体操作。
5. 执行定期安全检查。需要持续关注安全问题,做法就是定期执行平台健康检查,来不断识别薄弱点。比如说,你可以检查内置应用程序沙盒是否遭到破坏,这样就可以知道是否有 iOS 设备已经越狱,是否有安卓设备已经 root。不过要记住保护用户隐私,可以考虑侵入性健康检查,在应用程序外围对程序的整体运行情况进行检查。

Gartner 客户可以阅读另一篇相关报告,即《避免移动程序开发中的安全陷阱》。Zumerle 先生会在2016 年3 月14 日-15 日在伦敦举行的 2016 年度 Gartner 身份 & 访问管理峰会上做出进一步分析。你可以在 Twitter 上使用#GartnerIAM 标签对事件的相关更新进行进一步了解。

查看英文原文: Five Mobile App Security Techniques Hackers Don’t Want You to Use


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2016-03-14 19:002472

评论

发布
暂无评论
发现更多内容

前端开发React使用中常用的开发框架

@零度

前端 React

Spring Boot 2 教程:WebFlux 整合 Mongodb(四)

程序员泥瓦匠

Spring Boot WebFlux

java开发之Redis分布式锁相关知识分享

@零度

Java redis

Java常用的五大算法详解

编程江湖

算法 java编程

Spring Boot 2 教程:WebFlux 系列教程大纲(一)

程序员泥瓦匠

Spring Boot WebFlux

Spring Boot 2 教程:WebFlux 中 Redis 实现缓存(八)

程序员泥瓦匠

Serverless 架构简介

刘宇

云计算 Serverless 云原生 Serverless Devs

阿里云函数计算(FC)组件简介

刘宇

云计算 Serverless 云原生 函数计算 Serverless Devs

Spring Boot 2 教程:WebFlux 集成 Thymeleaf 、 Mongodb 实践(六)

程序员泥瓦匠

Spring Boot 2 教程:WebFlux 整合 Redis(七)

程序员泥瓦匠

成功只有一种-OBKoro1的2021年终总结

OBKoro1

前端 年终总结

Spring Boot 2 教程:WebFlux 快速入门实践(二)

程序员泥瓦匠

Spring Boot WebFlux

Serverless Devs 新手引导

刘宇

云计算 Serverless 云原生 Serverless Devs 新手引导

多种操作模式下的工具体系

刘宇

Serverless Serverless Devs

Linux之rm命令

入门小站

Linux

Spring Boot 2 教程:WebFlux 集成测试及部署(十)

程序员泥瓦匠

从云计算到 Serverless

刘宇

云计算 Serverless 云原生 Serverless Devs

工具链建设的必要性

刘宇

云计算 Serverless 云原生 工具链

Serverless架构下PaddleOCR项目开发与部署

刘宇

人工智能 paddle Serverless Serverless Devs

Linux一学就会:shell脚本基础

侠盗安全

Linux linux运维 运维工程师 云计算架构师

Serverless架构下Tensorflow与目标检测系统

刘宇

tensorflow Serverless 目标检测 Serverless Devs

鸿蒙轻内核源码分析:MMU协处理器

华为云开发者联盟

鸿蒙 MMU协处理器 ARM CP15协处理器 协处理器 MMU

Spring Boot 2 教程:WebFlux Restful CRUD 实践(三)

程序员泥瓦匠

Spring Boot WebFlux

从工具看函数资源评估

刘宇

Serverless 函数计算 Serverless Devs

重磅来袭|第一届 OpenSEC 征文活动正式开启

SphereEx

开源社区 技术分享 ShardingSphere SphereEx OpenSEC

Vue中slot插槽的使用方法

Changing Lin

12月日更

Spring Boot 2 教程:WebFlux 中 WebSocket 实现通信(九)

程序员泥瓦匠

让发布更安全的:线上异动感知

刘宇

云计算 Serverless 云原生 Serverless Devs

Serverless Desktop 上手

刘宇

Serverless Serverless Devs

Serverless Devs 简介

刘宇

Serverless 函数计算 Serverless Devs

Spring Boot 2 教程:WebFlux 集成 Thymeleaf(五)

程序员泥瓦匠

黑客最讨厌的5个移动应用安全技术_安全_孙姗姗_InfoQ精选文章