写点什么

黑客最讨厌的 5 个移动应用安全技术

  • 2016-03-14
  • 本文字数:1378 字

    阅读完需:约 5 分钟

企业进程和实践操作的数字化是行业发展的趋势。越来越多的企业正在为员工和客户开发移动端的企业应用程序,这一趋势引起了生产商和黑客的共同关注。

Gartner 的研究主管 Dionisio Zumerle 表示,“移动环境是在不断发展的,会不断出现新的安全漏洞和威胁。应用程序开发人员缺乏移动环境的专业知识,并且倾向于使用传统的应用程序开发流程,将重点放在了功能上,就忽视了安全问题。”

为什么转移到移动设备之后一切会变得不同呢?首先,这些设备以及设备中存放的敏感数据都更加容易丢失或被盗;第二,利用移动设备漏洞创造的新型攻击不断涌现。相邻设备上安装的恶意软件都可以用来提取本设备中的敏感数据。电子窃听技术可以截获程序和企业之间通过无线传输的数据。黑客也可以重新打包应用,在其中添加恶意代码,然后重新上传到应用商店,这种攻击手段已经被广泛用于与银行有关的应用程序中。

下面列出了五种方法,首席信息安全员可以使用这些方法来保护自己企业应用的安全:

  1. 锁定应用程序权限。移动应用程序在与设备的硬件进行交互的时候都需要获取用户权限。允许程序连接到设备的摄像头或是麦克风固然方便,但也增加了安全风险。为了企业利益,信息安全员们需要严格控制每个应用程序执行其功能所需的权限。
  2. 不要仅仅依赖于客户端审查。用户身份检查和应用程序完整性检查不应该只是由客户端执行。黑客可以很容易地避开这些检查来访问存储在应用程序中的敏感数据。这些检查应该由服务器执行。如果有些信息真的很敏感,应该进行更加全面的文本检查,比如说尝试登陆的地理位置。
  3. 查看第三方的专业水平和测试频率。信息安全员们需要评估第三方处理移动应用程序安全问题的能力。有些企业会用内部资源来支持编码安全控件,但是这些企业可能会采用早期的攻击性强的技术。

对于大多数企业来说,内部创建的安全性是难以维护和发展的。信息安全员们应该考虑使用外部方式来构建安全代码。有时候可能需要聘请顾问或是云服务提供商。不管是单独完成,或是寻求外部支持,都需要在开发之前使用一个第三方工具测试应用程序的安全性。
4. 加固应用程序。逆向工程现在是一种常见技术,用于找出系统细节以及用恶意代码重新封装应用。要想阻止这种做法,你可以使用第三方工具来混淆软件代码,这样会让攻击者很难了解应用程序的具体操作。
5. 执行定期安全检查。需要持续关注安全问题,做法就是定期执行平台健康检查,来不断识别薄弱点。比如说,你可以检查内置应用程序沙盒是否遭到破坏,这样就可以知道是否有 iOS 设备已经越狱,是否有安卓设备已经 root。不过要记住保护用户隐私,可以考虑侵入性健康检查,在应用程序外围对程序的整体运行情况进行检查。

Gartner 客户可以阅读另一篇相关报告,即《避免移动程序开发中的安全陷阱》。Zumerle 先生会在2016 年3 月14 日-15 日在伦敦举行的 2016 年度 Gartner 身份 & 访问管理峰会上做出进一步分析。你可以在 Twitter 上使用#GartnerIAM 标签对事件的相关更新进行进一步了解。

查看英文原文: Five Mobile App Security Techniques Hackers Don’t Want You to Use


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2016-03-14 19:002564

评论

发布
暂无评论
发现更多内容

YashanDB谈数据库未来出路和方向——回归商业本质 | YashanDB DTCC 2024 首秀

Geek_2d6073

低代码开发与项目管理工作流优化

不在线第一只蜗牛

项目管理 低代码 定制化

数智未来:论低代码开发与人工智能技术的适配度

快乐非自愿限量之名

人工智能 低代码

望繁信科技携手松下信息,共话制造业的数智应用之道

望繁信科技

数字化转型 流程挖掘 流程智能

陈星汉和郭炜炜两大制作人首次同台,鸿蒙原生游戏“后发先至”

最新动态

掌握VS Code:提升前端开发效率的秘诀

秃头小帅oi

JNPF:一文详解可视化低代码开发平台的研究与应用

EquatorCoco

低代码 可视化开发

云手机:TikTok运营的必备工具

Ogcloud

云手机 海外云手机 tiktok云手机 云手机海外版 tiktok运营

万字揭秘:助力单测提效,覆盖率八成无忧!

京东零售技术

测试 单元测试 企业号2024年8月PK榜

10款高效待办事项管理工具推荐,‌总有一款适合你!‌

爱吃小舅的鱼

待办事项 待办事项管理

探索宝可梦的世界:PokeAPI如何让开发者大展拳脚

幂简集成

XSKY 亮相中国移动智算存储论坛,共话 AI 存储创新之路

XSKY星辰天合

Python中的random模块及相关模块详解

我再BUG界嘎嘎乱杀

Python 编程 后端 random 开发语言

免费做ppt的网站哪个好?这个AI制作PPT神器不容错过!

职场工具箱

效率工具 职场 PPT AIGC AI生成PPT

观测云对接 Pinpoint 最佳实践

观测云

Pinpoint

火山引擎联合Unity中国,共探游戏行业云计算+AI新场景

新消费日报

扫码填表时,如何快速填充上次提交的内容?

草料二维码

京东商品列表数据接口:开启电商数据洞察之门

tbapi

京东API接口 京东商品列表数据接口

大型数字化企业怎么定义?为什么说大型数字化企业更需要堡垒机?

行云管家

数字化 等保

无需多部备用机,云手机方便又便宜!

Ogcloud

云手机 海外云手机 云手机海外版 云手机群控 云手机推荐

选对工具,‌事半功倍!‌详解10款项目管理神器

爱吃小舅的鱼

项目管理 项目管理软件

Java微信授权登录小程序接口

快乐非自愿限量之名

Java 小程序 微信

成为顶尖1%前端开发者的10项必备技能

伤感汤姆布利柏

IoTDB 如何有效实现磁盘 I/O 监控和优化?

Apache IoTDB

如何利用代理IP提升跨境市场竞争力?

IPIDEA全球HTTP

ClkLog常见问题-埋点集成篇Sec. 1

ClkLog

软件测试学习笔记丨SQL子查询实战练习

测试人

软件测试

为什么重写hashCode一定也要重写equals方法?

不在线第一只蜗牛

Java 基础

深度挖掘市场趋势:利用京东商品列表数据接口进行高效数据分析的技术实践

tbapi

京东商品列表数据接口

电商搜索革命:大模型如何重塑购物体验?| AICon

京东零售技术

LLM 企业号2024年8月PK榜

掌握抖音商品详情数据接口,让你的店铺销量飙升

tbapi

抖音商品详情数据接口 抖音API

黑客最讨厌的5个移动应用安全技术_安全_孙姗姗_InfoQ精选文章