Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

5个人们最不了解的App安全隐患

近些年来移动App数量的激增,使其积累了庞大的用户基数,于是我们正式进入了应用爆炸的时代!而安全问题作为APP发展的关键点,将面临越来越多的挑战。
发布时间:2016-10-20 16:21        来源:赛迪网        作者:yao

赛迪网讯 近些年来移动App数量的激增,使其积累了庞大的用户基数,于是我们正式进入了应用爆炸的时代!如今,移动应用客户端做为人们主要的通信交流、获取资讯、购物、出游等重要渠道,快速的发展与迭代更新,用户个性化、垂直化、平面化等等功能层出不穷、种类繁多,而安全问题作为APP发展的关键点,将面临越来越多的挑战。

185836379

据外媒报道,一份来自英国Rackspace的报告显示,36%的用户称,自己因为安全原因开始减少App的安装和使用频率,33%则是出于隐私安全等问题,仅有15%的人因为强退、BUG等质量原因放弃使用。随着 App的火爆,黑色产业也随着热点的迁移,从原来的PC端通过移动应用客户端转移到了移动端,伴随而来的攻击手段和防御手段也越来越高明。


一、App代码安全

反编译与混淆

目前很多数应用开发所使用的语言都是Java,Java经过编译后生成一个源程序文件,这个文件经过反编译后,可以很轻松的看到源代码。经过二次编译,就可以生成一个“李鬼”App,这样一个“李逵”APP就变成了“恶意李鬼”App,用户只要下载了这个App就“中招”了。

而混淆并不能完全阻止反编译,它的作用是增加破解难度,提高安全性,使得被反编译以后的代码阅读理解的难度增加!

WebView漏洞(举例)

22123716cf17f29bdc177dbb04f7252464659935

Android WebView组件可通过其addJavascriptInterface方法向加载页面的JAVAscript执行环境中导入指定的Java对象及其方法,可能导致远程代码任意执行。

在默认情况下,如果用户选择保存在WebView中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db文件中,存在密码被泄露的风险,可抓包获取账号密码。

有效减小APK体积

对用户来说,安装包体积越小,下载时间和流量的使用就越少。而对于应用开发者来说,则降低了应用在分发下载过程中被用户取消,安装失败的概率。因此在保证应用功能不变的前提下,减小APK体积是一件很有必要的优化措施。而市面上绝大部分的加固产品对APP处理完成之后,一般都会使得应用APK的体积增大。


二、App数据存储安全

程序数据面临的安全问题,主要指在磁盘做数据持久化的时候所做的加密。而在数据的存储与传输安全问题中,漏洞会出现在外部存储的文件没有权限管理,所有应用均都可读可写。可能会存在敏感信息被窃取,篡改配置文件,修改逻辑并重打包等隐患。

hC9UWfmUrW

可在动态加载外部资源的时候验证文件完整性,最好不要把敏感信息放在外部存储上,做到不用明文存储用户账号密码等敏感信息。


三、App网络传输安全

HTTPS协议

HTTPS可用于保护“裸奔状态”的数据,再由SSL/TSL层加密后,可过滤掉大部分的安全问题,以此保证传输数据的安全。HTTPS在证书、服务器配置、优化、客户端配置上都需要投入精力,所以有些开发人员容易跳过HTTPS,或者拖到遇到问题后再优化。如果没精力实现优化,至少在注册登录模块需要启用HTTPS,也可大大减低安全隐患。

u=1659927319,191769622&fm=21&gp=0

关键数据明文传输

应用程序在登录过程中,使用HTTP协议明文传输用户名和密码,并未对用户名和密码进行加密处理。通过监控网络数据就可以截获到用户名和用户密码数据,导致用户信息泄露,给用户带来安全风险。

积极跟踪信息安全动态

理论上来说任何的协议、代码都是可能有漏洞的,只是有的现在还没被破解,并不代表一直不能被破解。安全的攻防战不会有穷尽的一天,算法的更替会伴随着人类对未知的渴望一同前行。积极跟踪最新业界动态才,拥有正确的心态,“积极”面对!


四、密钥定期更换

1-1401021A335305

例如半年更新一次,如果密钥是从接口通过非对称加密获取的,直接修改服务端就可以了。如果密钥是写在代码里的。就等APP升级新的版本的时候,新版本的APP和其对应的接口版本都修改为新密钥。


五、App反垃圾服务

垃圾信息

广告类:用于推销商品、网站、店铺等。

钓鱼类:通过发布一些虚假信息,例如发布色情交易或色情网站链接,诱使人们点击或是回复,从而陷入骗局。

政治类:例如对重大事件的负面舆论,一旦在App内扩散极有可能造成App被下架。

对于简单的垃圾信息,管理员只要设置好关键字过滤即可。但“聪明”的发送者为了逃避拦截,通常会运用“博大精深”的汉语,起一些同音词语,对垃圾信息进行伪装。

垃圾信息的检测

从垃圾消息的伪装着手,首先应建立敏感词词库,对敏感词汇和信息进行初步拦截。再运用敏感词模糊匹配、用户行为检测、用户内容的识别等技术实现多种类型垃圾信息的二次的深度识别和拦截。

 

而“它”的出现或许或许会终结这个App时代,它就是小程序一种不需要下载安装即可使用的应用,它实现了应用触手可及的梦想,用户扫一扫或搜一下即可打开应用。也体现了“用完即走”的理念,用户不用关心是否安装太多应用的问题。应用将无处不在,随时可用,但又无需安装卸载。

随着微信小程序的出现,也许App安全可能不再是移动应用发展的的重要瓶颈了。。。。。。

专题访谈

合作站点
stat