現(xiàn)今的科技不斷變化的趨勢使移動設(shè)備已成為我們?nèi)粘I畹闹匾M成部分,也是推動文化組織的重要媒介。目前,先進的處理技術(shù)、互聯(lián)網(wǎng)連接功能和移動應(yīng)用程序的能力都尚在發(fā)展中,這是企業(yè)組織轉(zhuǎn)型過程中需要關(guān)注和解決的模式轉(zhuǎn)變問題。雖然移動應(yīng)用提供了業(yè)務(wù)的靈活性,但也帶來了安全方面的挑戰(zhàn)。移動應(yīng)用的安全威脅日益普遍,移動市場上越來越多受到惡意軟件影響的應(yīng)用,尤其是對信用信息敏感的金融領(lǐng)域。以下是移動應(yīng)用潛在的的漏洞和保護技術(shù)。
可能存在的移動應(yīng)用漏洞
易受攻擊的應(yīng)用程序面臨的安全威脅包括:
敏感數(shù)據(jù)泄露
敏感數(shù)據(jù)泄漏可能發(fā)生在移動應(yīng)用程序不當存儲用戶數(shù)據(jù)的情況下。對應(yīng)用程序中使用的敏感數(shù)據(jù)進行加密是確保其機密性的關(guān)鍵步驟。根據(jù)OWASP(Open Worldwide Application Security Project,開放式網(wǎng)頁應(yīng)用程序安全項目)的說法,不安全的數(shù)據(jù)存儲是指開發(fā)團隊假設(shè)用戶無法訪問手機的文件系統(tǒng),并將敏感數(shù)據(jù)存儲在手機上的數(shù)據(jù)存儲中。設(shè)備上的文件系統(tǒng)通常很容易訪問,用戶應(yīng)該預期惡意對象會檢查數(shù)據(jù)存儲。此外,對設(shè)備進行Root或越獄可能使?jié)撛诘膼阂鈶?yīng)用程序訪問其他應(yīng)用程序的數(shù)據(jù),從而增加了安全風險。
*Root指的是獲取 Android設(shè)備的超級用戶權(quán)限。超級用戶權(quán)限可以讓用戶訪問和修改設(shè)備的所有文件和設(shè)置,包括系統(tǒng)文件。
未加密的通信
客戶端-服務(wù)器架構(gòu)的最重要特征之一是數(shù)據(jù)交換,當數(shù)據(jù)傳輸時,它可能通過載體網(wǎng)絡(luò)或互聯(lián)網(wǎng)進行交換。而在開發(fā)應(yīng)用程序時,如果在客戶端和服務(wù)器之間共享數(shù)據(jù)時不注意,數(shù)據(jù)在傳輸?shù)倪^程中就可能發(fā)生被泄露的風險。保護傳輸中數(shù)據(jù)的最佳方法是對其進行加密,不僅可以防止嗅探到的數(shù)據(jù)被讀取,尤其是在涉及用戶名、密碼和信用卡信息的情況下。根據(jù)OWASP的說法,很不幸的,移動應(yīng)用程序通常不會保護網(wǎng)絡(luò)流量。SSL/TLS可能在身份驗證過程中使用,但不會在其他地方使用,從而使數(shù)據(jù)和會話ID暴露被攔截。此外,傳輸安全性的存在并不意味著它被充分實施,而檢測到基本缺陷也并非難事。
信息泄露
泄露存儲在應(yīng)用程序中的相關(guān)數(shù)據(jù),如密碼、信用卡詳情等,這些信息應(yīng)該保持硬編碼,是任何開發(fā)人員都應(yīng)該優(yōu)先考慮的要求,因為為移動設(shè)備開發(fā)的大多數(shù)應(yīng)用程序在進行反向工程時都會泄露代碼。黑客可能會訪問這些敏感信息,以進一步促使對公司資源的訪問,從而損害公司的聲譽。
較弱的身份驗證和授權(quán)機制
身份驗證和授權(quán)是指為使用應(yīng)用程序而授予的用戶權(quán)限。在具有超出了公開可用功能的應(yīng)用程序中,可能需要權(quán)限才能訪問免費功能。身份驗證一方面指的是驗證身份,而另一方面,授權(quán)指的是被授權(quán)訪問的資源是什么。當授權(quán)和身份驗證模式未能保護應(yīng)用程序時,應(yīng)用程序中的特權(quán)功能就會受到損害,使其容易受到攻擊。在開發(fā)應(yīng)用程序時,應(yīng)正確處理授權(quán)和身份驗證,以確保未經(jīng)授權(quán)的用戶無法訪問敏感信息。
使用應(yīng)用程序防御的重要性
如前所述,移動應(yīng)用程序的漏洞非常重要,必須確保它得到完全保護,而應(yīng)用程序防御解決方案旨在通過提供代碼混淆、加密、日志刪除、偽造檢查等功能來保護移動應(yīng)用程序。此外,它還通過在編譯后應(yīng)用先進的技術(shù)對移動應(yīng)用程序的代碼進行混淆,采用全新的代碼混淆后處理,提供完全非侵入式的方法,不影響應(yīng)用程序的功能,從而引入了對反向工程的抵抗。此外,這個安全保護層使刪除或繞過應(yīng)用程序防御變得不可能。結(jié)合這些技術(shù),它有效地保護應(yīng)用程序免受篡改和重新包裝的威脅。應(yīng)用程序防御檢測攻擊者是否復制了應(yīng)用程序的源代碼并注入了惡意功能,如果檢測到重新包裝,應(yīng)用程序防御將使已損壞的應(yīng)用程序無法運行。
此外,應(yīng)用程序防御可以無縫集成到現(xiàn)有的應(yīng)用程序中,以檢測、緩解和防御運行時攻擊,如代碼注入、調(diào)試、仿真、屏幕鏡像、應(yīng)用程序劫持等。即使在受損設(shè)備上,應(yīng)用程序仍然受到保護;即使設(shè)備感染了利用欺詐性鍵盤、記錄按鍵、遠程屏幕捕獲、截圖或覆蓋屏幕的惡意軟件,運行時應(yīng)用程序自我保護(RASP)技術(shù)也會檢測并阻止應(yīng)用程序的任何未經(jīng)授權(quán)的行為。
這些技術(shù)確保了應(yīng)用程序的完整性,并充分保護了敏感的業(yè)務(wù)和個人數(shù)據(jù)免受網(wǎng)絡(luò)犯罪分子的威脅。因此,企業(yè)可以擴展和加強應(yīng)用程序安全性,保護客戶,并滿足苛刻的應(yīng)用程序開發(fā)時間表。
總結(jié)
組織在數(shù)據(jù)安全和隱私方面面臨著頻繁的威脅,在不斷發(fā)展的安全問題中優(yōu)先考慮這些問題是十分困難的。本文的重點是展示常用移動應(yīng)用程序中存在的漏洞,并分析對業(yè)務(wù)環(huán)境潛在影響最大的威脅。研究結(jié)果突顯了組織機構(gòu)和應(yīng)用程序用戶需要考慮的安全問題。
擁有對企業(yè)數(shù)據(jù)訪問權(quán)限的易受攻擊的應(yīng)用程序是此類威脅的潛在渠道,并且在與受限制的商業(yè)環(huán)境進行交互時很少受到監(jiān)控。大量的應(yīng)用程序存儲在App Store中,其中很大一部分是未經(jīng)緩解的移動應(yīng)用程序。應(yīng)用程序數(shù)據(jù)泄漏、未加密通信和未經(jīng)授權(quán)訪問漏洞表明,組織機構(gòu)需要了解并防范更廣泛的應(yīng)用程序風險,以保護敏感數(shù)據(jù)。
審核編輯 黃宇
-
存儲
+關(guān)注
關(guān)注
13文章
4170瀏覽量
85482 -
互聯(lián)網(wǎng)
+關(guān)注
關(guān)注
54文章
11037瀏覽量
102442 -
數(shù)據(jù)安全
+關(guān)注
關(guān)注
2文章
658瀏覽量
29897 -
OWASP
+關(guān)注
關(guān)注
0文章
4瀏覽量
1862
發(fā)布評論請先 登錄
相關(guān)推薦
評論