0%

第25章 移动应用安全需求分析与安全保护工程

移动应用安全威胁与需求分析

移动应用系统组成

三个部分:移动App、通信网络、应用服务端

移动应用安全分析

安全威胁类型:

  1. 移动操作系统平台威胁:移动应用的安全性依赖于移动操作系统

  2. 无线网络攻击:通信内容监听、假冒基站、网络域名欺诈、网络钓鱼等攻击

  3. 恶意代码

  4. 移动应用代码逆向工程

  5. 移动应用程序非法篡改

Android系统安全与保护机制

Android系统组成概要

常见威胁形式:APK重打包、更新攻击、诱惑下载、提权攻击、远程控制、恶意付费、敏感信息搜集

Android系统安全机制

  1. 权限声明机制
  2. 应用程序签名机制
  3. 沙箱机制:实现不同应用程序和进程之间的隔离
  4. 网络通信加密
  5. 内核安全机制

iOS系统功能安全与保护机制

iOS系统组成概要

iOS系统安全机制

安全机制:

  1. 安全启动链:iOS平台的安全依赖于启动链的安全
  2. 数据保护
  3. 数据的加密于保护机制:强制加密
  4. 地址空间布局随机化
  5. 代码签名
  6. 沙箱机制

移动应用安全保护机制与技术方案

移动应用App安全风险

容易遭受反编译、调试、篡改、数据窃取等

移动应用App安全加固

  1. 防反编译:加密处理
  2. 防调试:设置调试检测功能,如清理用户数据、报告程序所在设备情况、禁止使用某些功能
  3. 防篡改:数字签名和多重校验
  4. 防窃取:加密

移动应用App安全检测

检测内容:

  • 身份认证机制检测
  • 通信会话安全机制检测
  • 敏感信息保护机制检测
  • 日志安全策略检测
  • 交易流程安全机制检测
  • 服务端鉴权机制检测
  • 访问控制机制检测
  • 数据防篡改能力检测
  • 防SQL注入能力检测
  • 防钓鱼能力检测
  • App安全漏洞检测

Android6.0及以上可收集的个人信息的权限,最小必要权限参考:

  1. 地图导航:位置、存储权限
  2. 网络约车:位置、拨打电话权限
  3. 即时通信:存储权限
  4. 博客论坛:存储权限
  5. 网络支付:存储权限
  6. 新闻资讯:无
  7. 网上购物:无
  8. 短视频:存储权限
  9. 快递配送:无
  10. 餐饮外卖:位置、拨打电话权限
  11. 交通票务:无
  12. 婚恋相亲:存储权限
  13. 求职招聘:存储权限
  14. 金融借贷:存储权限
  15. 房屋租售:存储权限
  16. 二手车交易:存储权限
  17. 运动健身:位置、传感器权限
  18. 问诊挂号:存储权限
  19. 网页浏览器:无
  20. 输入法:无
  21. 安全管理:存储、获取应用账户、读取电话状态、短信权限

移动应用安全综合应用案例分析

金融移动安全、运营商移动安全、移动办公安全详见P553-P555

-------本文结束  感谢您的阅读-------