HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

黑客最讨厌的 5 个移动应用安全技术

  • 2016-03-14
  • 本文字数:1378 字

    阅读完需:约 5 分钟

企业进程和实践操作的数字化是行业发展的趋势。越来越多的企业正在为员工和客户开发移动端的企业应用程序,这一趋势引起了生产商和黑客的共同关注。

Gartner 的研究主管 Dionisio Zumerle 表示,“移动环境是在不断发展的,会不断出现新的安全漏洞和威胁。应用程序开发人员缺乏移动环境的专业知识,并且倾向于使用传统的应用程序开发流程,将重点放在了功能上,就忽视了安全问题。”

为什么转移到移动设备之后一切会变得不同呢?首先,这些设备以及设备中存放的敏感数据都更加容易丢失或被盗;第二,利用移动设备漏洞创造的新型攻击不断涌现。相邻设备上安装的恶意软件都可以用来提取本设备中的敏感数据。电子窃听技术可以截获程序和企业之间通过无线传输的数据。黑客也可以重新打包应用,在其中添加恶意代码,然后重新上传到应用商店,这种攻击手段已经被广泛用于与银行有关的应用程序中。

下面列出了五种方法,首席信息安全员可以使用这些方法来保护自己企业应用的安全:

  1. 锁定应用程序权限。移动应用程序在与设备的硬件进行交互的时候都需要获取用户权限。允许程序连接到设备的摄像头或是麦克风固然方便,但也增加了安全风险。为了企业利益,信息安全员们需要严格控制每个应用程序执行其功能所需的权限。
  2. 不要仅仅依赖于客户端审查。用户身份检查和应用程序完整性检查不应该只是由客户端执行。黑客可以很容易地避开这些检查来访问存储在应用程序中的敏感数据。这些检查应该由服务器执行。如果有些信息真的很敏感,应该进行更加全面的文本检查,比如说尝试登陆的地理位置。
  3. 查看第三方的专业水平和测试频率。信息安全员们需要评估第三方处理移动应用程序安全问题的能力。有些企业会用内部资源来支持编码安全控件,但是这些企业可能会采用早期的攻击性强的技术。

对于大多数企业来说,内部创建的安全性是难以维护和发展的。信息安全员们应该考虑使用外部方式来构建安全代码。有时候可能需要聘请顾问或是云服务提供商。不管是单独完成,或是寻求外部支持,都需要在开发之前使用一个第三方工具测试应用程序的安全性。
4. 加固应用程序。逆向工程现在是一种常见技术,用于找出系统细节以及用恶意代码重新封装应用。要想阻止这种做法,你可以使用第三方工具来混淆软件代码,这样会让攻击者很难了解应用程序的具体操作。
5. 执行定期安全检查。需要持续关注安全问题,做法就是定期执行平台健康检查,来不断识别薄弱点。比如说,你可以检查内置应用程序沙盒是否遭到破坏,这样就可以知道是否有 iOS 设备已经越狱,是否有安卓设备已经 root。不过要记住保护用户隐私,可以考虑侵入性健康检查,在应用程序外围对程序的整体运行情况进行检查。

Gartner 客户可以阅读另一篇相关报告,即《避免移动程序开发中的安全陷阱》。Zumerle 先生会在2016 年3 月14 日-15 日在伦敦举行的 2016 年度 Gartner 身份 & 访问管理峰会上做出进一步分析。你可以在 Twitter 上使用#GartnerIAM 标签对事件的相关更新进行进一步了解。

查看英文原文: Five Mobile App Security Techniques Hackers Don’t Want You to Use


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2016-03-14 19:002573

评论

发布
暂无评论
发现更多内容

Mimir 速体验 (Part 4):数据抓取的高可靠

Grafana 爱好者

Grafana Prometheus Mimir

Go语言入门09—结构体

良猿

Go golang 后端 10月月更

【笔记】面向过程的SQL扩展(一)

w010w

数据库 sql 10月月更

QECon上海站|蚂蚁测试用例智能生成技术架构与实践

TRaaS

Nest.js初步学习

木偶

Express nestjs 10月月更

极客时间运维进阶训练营第二周作业

Starry

远程代码执行漏洞

网络安全学海

网络安全 安全 信息安全 渗透测试 漏洞挖掘

9:多表查询-MySQL

Yeats_Liao

数据库 后端 10月月更

11:高级部分-MySQL

Yeats_Liao

数据库 后端 10月月更

Mimir 速体验 (Part 5):原生 OTLP 数据写入

Grafana 爱好者

Grafana OpenTelemetry Mimir

Java | Collection集合的子类

陌上

Java 编程 10月月更

半小时看懂互联网运营,学会做局与破局

蔡农曰

运营 互联网+ 互联网行业 互联网运营

6000字带你揭开ICT和云计算技术的神秘面纱!

wljslmz

云计算 ICT 以太网 10月月更

C++从入门到精通(第七篇) :vector深度剖析及模拟实现

雪芙花

c 10月月更 C++

服务怎么升级

agnostic

服务升级

前端开发-初始HTML

木偶

html 前端 10月月更

JavaScript基础部分能力提升以及解答方案

木偶

JavaScript 前端 10月月更

10:子查询-MySQL

Yeats_Liao

数据库 后端 10月月更

C++从入门到精通(第七篇) :string类的讲解和模拟实现

雪芙花

c 10月月更 C++

【精彩内容分享】SoCC 2022 | 大规模云系统自动化容量评估的探索与落地 – DeepScaling

TRaaS

Java | Map集合

陌上

Java 编程 10月月更

嵌入式 Linux 入门(九、Linux 下的磁盘管理)

矜辰所致

Linux 10月月更 磁盘管理

虚拟化资源监控

阿泽🧸

10月月更 虚拟化监控

【一Go到底】第三十一天---查找

指剑

Go golang 10月月更

【点滴】生活模型

无人之路

个人成长 日志 模型思维

Java | Collection集合

陌上

Java 编程 10月月更

基于 docker 实现对容器的 CPU 和内存的资源限制

忙着长大#

Docker 镜像

http 协议 harbor 镜像仓库部署

忙着长大#

AI读懂中国,文心方可雕龙

脑极体

流式计算引擎对比

穿过生命散发芬芳

10月月更 流式计算

运维进阶训练营 -W02H

赤色闪电

运维

黑客最讨厌的5个移动应用安全技术_安全_孙姗姗_InfoQ精选文章