隨著移動(dòng)應(yīng)用使用率的大幅增長(zhǎng)，其被攻擊的風(fēng)險(xiǎn)也在增加。根據(jù)Gartner的一項(xiàng)研究，“75%的移動(dòng)應(yīng)用程序?qū)o(wú)法通過(guò)基本的安全測(cè)試”。大多數(shù)企業(yè)主認(rèn)為移動(dòng)應(yīng)用不容易受到網(wǎng)絡(luò)攻擊。然而，對(duì)于移動(dòng)APP黑客已經(jīng)總結(jié)出方便有效的攻擊方法與工具腳本，保護(hù)移動(dòng)應(yīng)用已經(jīng)成為迫在眉睫的首要任務(wù)。

根據(jù)大數(shù)據(jù)資訊機(jī)構(gòu)HPE(慧與)的一項(xiàng)研究中，對(duì)600多家公司的2000多個(gè)移動(dòng)應(yīng)用進(jìn)行了測(cè)試，結(jié)果如下:

35%的應(yīng)用程序通過(guò)HTTP發(fā)送用戶(hù)名和密碼， 18%通過(guò)SSL/HTTPS協(xié)議進(jìn)行加密傳輸用戶(hù)名與密碼。

75%的應(yīng)用程序沒(méi)有使用密文來(lái)存儲(chǔ)移動(dòng)設(shè)備上的數(shù)據(jù)。

71%的應(yīng)用程序沒(méi)有使用安全加固產(chǎn)品。

APP安全威脅分類(lèi)

在討論如何保護(hù)移動(dòng)應(yīng)用程序免受攻擊之前，讓我們先簡(jiǎn)要概述一下常見(jiàn)的APP應(yīng)用程序安全威脅。

1. 來(lái)自PC端的威脅

許多APP允許用戶(hù)從PC上下載，然后將其上傳到移動(dòng)設(shè)備上，這會(huì)造成跨設(shè)備的威脅。

2. 安卓移動(dòng)應(yīng)用線上平臺(tái)存在風(fēng)險(xiǎn)

移動(dòng)應(yīng)用開(kāi)發(fā)平臺(tái)審核審計(jì)參差不齊，多達(dá)90%的移動(dòng)應(yīng)用程序存在漏洞。在iOS設(shè)備方面，蘋(píng)果公司可做相對(duì)嚴(yán)格的安全準(zhǔn)入審計(jì)。相比之下，安卓設(shè)備由于設(shè)備類(lèi)型、app商店安全性標(biāo)準(zhǔn)不統(tǒng)一、需要覆蓋的安卓版本過(guò)多、開(kāi)源等等特性，安卓APP往往存在更多的安全風(fēng)險(xiǎn)。

3. 來(lái)自IOT設(shè)備的風(fēng)險(xiǎn)

萬(wàn)物互聯(lián)的時(shí)代下，物聯(lián)網(wǎng)主要目的是收集用戶(hù)數(shù)據(jù)，利用這些數(shù)據(jù)提供更好的用戶(hù)體驗(yàn)。物聯(lián)網(wǎng)設(shè)備往往是通過(guò)安卓app進(jìn)行控制操作，甚至有些物聯(lián)網(wǎng)設(shè)備原本就是安卓操作系統(tǒng)。安卓應(yīng)用安全漏洞會(huì)給設(shè)備帶來(lái)了難以控制的安全風(fēng)險(xiǎn)。

4. 手機(jī)病毒

移動(dòng)設(shè)備處于被惡意軟件、木馬、病毒和間諜軟件攻擊的高風(fēng)險(xiǎn)中，從而使黑客能夠竊取數(shù)據(jù)。

5.未授權(quán)訪問(wèn)

破解移動(dòng)app，使得未經(jīng)授權(quán)的用戶(hù)可以訪問(wèn)您的社交媒體網(wǎng)絡(luò)、電子郵件帳戶(hù)和應(yīng)用程序。

6. 黑產(chǎn)

黑客利用安卓手機(jī)開(kāi)源等特性，分析移動(dòng)APP，利用改機(jī)軟件，修改系統(tǒng)信息偽造自己的身份。從而欺騙APP的身份認(rèn)證等環(huán)節(jié)，達(dá)到薅羊毛等目的。

如何保護(hù)您的移動(dòng)應(yīng)用程序

看完了上述移動(dòng)應(yīng)用的威脅之后，我們來(lái)簡(jiǎn)要了解一下應(yīng)對(duì)措施。

1. 靜動(dòng)態(tài)保護(hù)

移動(dòng)應(yīng)用程序開(kāi)發(fā)階段，確保使用安全的編譯腳本與編譯選項(xiàng)，混淆代碼讓黑客無(wú)法獲取核心邏輯，確保使用安全的第三方庫(kù)，對(duì)每行代碼進(jìn)行安全審計(jì)。黑客通常會(huì)通過(guò)審計(jì)逆向偽代碼來(lái)發(fā)現(xiàn)漏洞并控制、訪問(wèn)你的應(yīng)用程序，獲取手機(jī)或應(yīng)用的敏感個(gè)人信息等。

除此之外，需要防止app被動(dòng)態(tài)調(diào)試與分析，加入防調(diào)試機(jī)制。對(duì)APP定期進(jìn)行模糊測(cè)試，確保其外部接口不會(huì)被入侵。尋找強(qiáng)有力的第三方安全測(cè)試公司進(jìn)行檢測(cè)也是一種好的選擇。

2. 增加身份認(rèn)證算法強(qiáng)度

接口身份認(rèn)證和授權(quán)為應(yīng)用程序的登錄增加了安全性。確保APP接口只提供對(duì)APP重要功能的訪問(wèn)。認(rèn)證部分全部轉(zhuǎn)移線上去運(yùn)算，本地不要出現(xiàn)算法邏輯，關(guān)鍵證書(shū)內(nèi)容。增加身份認(rèn)證因子，可以采用手機(jī)端基本信息作為證書(shū)生成的重要因子。

3. 保證web/后端安全

實(shí)現(xiàn)APP安全，請(qǐng)首先確保在服務(wù)器安全，防止未經(jīng)授權(quán)的訪問(wèn)以保護(hù)機(jī)密數(shù)據(jù)。對(duì)服務(wù)器端端所有接口要進(jìn)行模糊測(cè)試。

可以使用容器化后端部署保護(hù)數(shù)據(jù)和文檔。此外，需要經(jīng)過(guò)認(rèn)證機(jī)構(gòu)滲透測(cè)試，其結(jié)果應(yīng)符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。通信手段需使用TLS、VPN和SSL等進(jìn)行加密，防止第三方中間人攻擊等。

4. 安全支付

無(wú)論你是在網(wǎng)上提供收費(fèi)服務(wù)，還是在網(wǎng)上銷(xiāo)售一些產(chǎn)品，都必須有一個(gè)安全的支付網(wǎng)關(guān)。需要將支付系統(tǒng)和客戶(hù)端之間的敏感通信增加多因素標(biāo)記、加密等等。

5. 威脅情報(bào)平臺(tái)

隨著移動(dòng)設(shè)備的增加，威脅類(lèi)別也正在迅速演變，我們不可能預(yù)防任何的威脅。但是，您可以開(kāi)放Web安全應(yīng)急響應(yīng)平臺(tái)幫助處理移動(dòng)威脅。

此外，APP廠商應(yīng)該告知用戶(hù)，在他們的設(shè)備上APP應(yīng)用廠商將安裝一個(gè)額外的移動(dòng)安全sdk探針。針對(duì)手機(jī)基本信息、未知的事件等進(jìn)行采集，上報(bào)到您的威脅情報(bào)平臺(tái)。此外，如果你的應(yīng)用程序出現(xiàn)任何安全漏洞，sdk探針也可以通知你。

總結(jié)

企業(yè)高管已經(jīng)十分重視當(dāng)前高速增長(zhǎng)的APP安全問(wèn)題。企業(yè)內(nèi)部安全負(fù)責(zé)人更應(yīng)該從基本做起，關(guān)注APP在開(kāi)發(fā)階段所產(chǎn)生的隱患，并遵循本文的建議，采取了所有必要的步驟來(lái)保護(hù)您的應(yīng)用程序免受網(wǎng)絡(luò)、惡意軟件、病毒和間諜軟件等攻擊。選擇良好的三方滲透服務(wù)，發(fā)現(xiàn)未知問(wèn)題，增強(qiáng)安全團(tuán)隊(duì)?wèi)?yīng)急響應(yīng)能力。

來(lái)源：Freebuf