移动应用安全威胁与需求分析
移动应用系统组成
三个部分:移动App、通信网络、应用服务端
移动应用安全分析
安全威胁类型:
Android系统安全与保护机制
Android系统组成概要
常见威胁形式:APK重打包、更新攻击、诱惑下载、提权攻击、远程控制、恶意付费、敏感信息搜集
Android系统安全机制
- 权限声明机制
- 应用程序签名机制
- 沙箱机制:实现不同应用程序和进程之间的隔离
- 网络通信加密
- 内核安全机制
iOS系统功能安全与保护机制
iOS系统组成概要
iOS系统安全机制
安全机制:
- 安全启动链:iOS平台的安全依赖于启动链的安全
- 数据保护
- 数据的加密于保护机制:强制加密
- 地址空间布局随机化
- 代码签名
- 沙箱机制
移动应用安全保护机制与技术方案
移动应用App安全风险
容易遭受反编译、调试、篡改、数据窃取等
移动应用App安全加固
- 防反编译:加密处理
- 防调试:设置调试检测功能,如清理用户数据、报告程序所在设备情况、禁止使用某些功能
- 防篡改:数字签名和多重校验
- 防窃取:加密
移动应用App安全检测
检测内容:
- 身份认证机制检测
- 通信会话安全机制检测
- 敏感信息保护机制检测
- 日志安全策略检测
- 交易流程安全机制检测
- 服务端鉴权机制检测
- 访问控制机制检测
- 数据防篡改能力检测
- 防SQL注入能力检测
- 防钓鱼能力检测
- App安全漏洞检测
Android6.0及以上可收集的个人信息的权限,最小必要权限参考:
- 地图导航:位置、存储权限
- 网络约车:位置、拨打电话权限
- 即时通信:存储权限
- 博客论坛:存储权限
- 网络支付:存储权限
- 新闻资讯:无
- 网上购物:无
- 短视频:存储权限
- 快递配送:无
- 餐饮外卖:位置、拨打电话权限
- 交通票务:无
- 婚恋相亲:存储权限
- 求职招聘:存储权限
- 金融借贷:存储权限
- 房屋租售:存储权限
- 二手车交易:存储权限
- 运动健身:位置、传感器权限
- 问诊挂号:存储权限
- 网页浏览器:无
- 输入法:无
- 安全管理:存储、获取应用账户、读取电话状态、短信权限
移动应用安全综合应用案例分析
金融移动安全、运营商移动安全、移动办公安全详见P553-P555