写点什么

黑客最讨厌的 5 个移动应用安全技术

  • 2016-03-14
  • 本文字数:1378 字

    阅读完需:约 5 分钟

企业进程和实践操作的数字化是行业发展的趋势。越来越多的企业正在为员工和客户开发移动端的企业应用程序,这一趋势引起了生产商和黑客的共同关注。

Gartner 的研究主管 Dionisio Zumerle 表示,“移动环境是在不断发展的,会不断出现新的安全漏洞和威胁。应用程序开发人员缺乏移动环境的专业知识,并且倾向于使用传统的应用程序开发流程,将重点放在了功能上,就忽视了安全问题。”

为什么转移到移动设备之后一切会变得不同呢?首先,这些设备以及设备中存放的敏感数据都更加容易丢失或被盗;第二,利用移动设备漏洞创造的新型攻击不断涌现。相邻设备上安装的恶意软件都可以用来提取本设备中的敏感数据。电子窃听技术可以截获程序和企业之间通过无线传输的数据。黑客也可以重新打包应用,在其中添加恶意代码,然后重新上传到应用商店,这种攻击手段已经被广泛用于与银行有关的应用程序中。

下面列出了五种方法,首席信息安全员可以使用这些方法来保护自己企业应用的安全:

  1. 锁定应用程序权限。移动应用程序在与设备的硬件进行交互的时候都需要获取用户权限。允许程序连接到设备的摄像头或是麦克风固然方便,但也增加了安全风险。为了企业利益,信息安全员们需要严格控制每个应用程序执行其功能所需的权限。
  2. 不要仅仅依赖于客户端审查。用户身份检查和应用程序完整性检查不应该只是由客户端执行。黑客可以很容易地避开这些检查来访问存储在应用程序中的敏感数据。这些检查应该由服务器执行。如果有些信息真的很敏感,应该进行更加全面的文本检查,比如说尝试登陆的地理位置。
  3. 查看第三方的专业水平和测试频率。信息安全员们需要评估第三方处理移动应用程序安全问题的能力。有些企业会用内部资源来支持编码安全控件,但是这些企业可能会采用早期的攻击性强的技术。

对于大多数企业来说,内部创建的安全性是难以维护和发展的。信息安全员们应该考虑使用外部方式来构建安全代码。有时候可能需要聘请顾问或是云服务提供商。不管是单独完成,或是寻求外部支持,都需要在开发之前使用一个第三方工具测试应用程序的安全性。
4. 加固应用程序。逆向工程现在是一种常见技术,用于找出系统细节以及用恶意代码重新封装应用。要想阻止这种做法,你可以使用第三方工具来混淆软件代码,这样会让攻击者很难了解应用程序的具体操作。
5. 执行定期安全检查。需要持续关注安全问题,做法就是定期执行平台健康检查,来不断识别薄弱点。比如说,你可以检查内置应用程序沙盒是否遭到破坏,这样就可以知道是否有 iOS 设备已经越狱,是否有安卓设备已经 root。不过要记住保护用户隐私,可以考虑侵入性健康检查,在应用程序外围对程序的整体运行情况进行检查。

Gartner 客户可以阅读另一篇相关报告,即《避免移动程序开发中的安全陷阱》。Zumerle 先生会在2016 年3 月14 日-15 日在伦敦举行的 2016 年度 Gartner 身份 & 访问管理峰会上做出进一步分析。你可以在 Twitter 上使用#GartnerIAM 标签对事件的相关更新进行进一步了解。

查看英文原文: Five Mobile App Security Techniques Hackers Don’t Want You to Use


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2016-03-14 19:002594

评论

发布
暂无评论
发现更多内容

raft协议中, 候选人角色能参与投票吗

程序员老王

raft

追光逐影:曝光相对论(1)

北风

摄影 影调 曝光 黑白

LeetCode题解:141. 环形链表,JavaScript,快慢指针,详细注释

Lee Chen

大前端 LeetCode

Week7 作业

Shawn

ARTS Week7

丽子

ARTS 打卡计划

第7周笔记:性能优化

Melo

程序员都应该知道的数据库避坑指南

Phoenix

MySQL 数据库 事务隔离级别

上班摸鱼,可以玩一整天,哈哈哈!!!

诸葛小猿

上班 摸鱼

WordPress插件设计

心平气和

php 插件设计 插件系统 WordPress

负载均衡+分布式数据库

鲁米

ARTS打卡第3周

Scotty

Rust多线程之数据共享

编号94530

rust 多线程 数据共享 什么是多线程

第7周作业:web性能测压工具

Melo

你以为你真的理解 Closure 吗

catcoolion

大前端 闭包

LeetCode题解:1051. 高度检查器,JavaScript,桶排序,详细注释

Lee Chen

大前端 LeetCode

写一个并发测试工具

罗亮

CAP原理

鲁米

Discuz插件设计

心平气和

php Diszuz 插件设计 插件系统

IDEA命令行缩短器助你解决此问题:Command line is too long. Shorten command line...

YourBatman

intellij-idea spring IDEA springboot

Java 基础知识整理

多选参数

Java

架构师训练营第六周-总结

王权富贵

tcpdump 实例-获取网络包的50种方法

Rayjun

TCP/IP tcpdump

浪潮信息推动AI在线教育实现全面应用

Geek_116789

第七周作业

田振宇

不变的是什么?

zhongzhq

依道而行 规律 变化

Debug ArrayList源码

Noneplus

Java

《架构师训练营》第七周总结

图解:最短路径之如何理解“松弛”or“放松”?

淡蓝色

Java 数据结构 算法

Flink 生态:Pulsar Connector 机制剖析

Apache Flink

flink

《架构师训练营》第七周命题作业

Android | Glide细枝篇

哈利迪

android 源码

黑客最讨厌的5个移动应用安全技术_安全_孙姗姗_InfoQ精选文章