常见的 App 安全问题
据2017年上半年移动安全报告显示,近五年安卓端病毒数量呈直线上升趋势。到2016年,这一数字已大幅上升至1743万,预计2017全年病毒量将接近2000万。亚洲仍然是病毒重灾区,而中国2017年上半年以约242万的病毒数量位列全球第一,我们所面临的漏洞是非常严峻的。
常见安全问题分析
上图可看出Android研发要点约450个,包含组建安全、配置安全、策略安全、通信安全、权限欧洲、DOS安全、ROOT安全等等,今天从这里面挑一些重点讲一下。
传输安全。
本地校验用户验证码也非常重要,以后请大家开发中本地的数据校验尽量不要放在本地,尽量放在云端。对于数据的加密,建议所有的App和用户的客户端不要用一个共同的密钥,对于密钥生成的方法尽量根据用户的ID或者一些信息来生成出来,这样避免了大规模密钥的泄露。
Webview的代码执行漏洞。
安卓存在一个非常著名的远程代码执行的漏洞,由于我们程序没有正确地使用,大家可能在做GS和Java户调的时候会遇到这个问题,远程攻击者可以通过Java分设接口执行一些恶意的Java方法,最终导致App在使用Webview的时候遭到攻击。我们是可以做一些应对的,安卓系统通过Webview通过一个注册来调用Java功能,攻击者利用反射对他进行攻击,其实谷歌也看到了这个问题,因为这个问题毕竟比较大、也比较广,所以谷歌在API Level17以后这个问题就得到了遏制,对于小于17,或者17以下的能不使用就不使用,如果真的要使用可以增加过滤,对数据的传输做一下校验。
应用安全层。
可以对代码进行一些混淆,如配置,如果觉得这还不够,也可以使用一些第三方的工具,比如APK文件。对于更加讲究安全性的经营类的企业,可以选择加固,使用脱壳程序,最后形成一个新的Dex包,最后完成对一个程序的加固。
第三方组件安全。
之前做App应用,在研发后对应用做了很多安全防御。但是大概刚上线不到两天就暴露出漏洞了,究其原因是App项目中用了国内一家非常著名的SDK的推送平台,由于这个平台在发送推送广播的时候没有做数据的校验,导致了黑客可以利用这个推送广播进行伪装,给我发一些数据,最后导致应用在接收了广播之后,只要我点击这个广播应用就崩溃。因此我们除了做好自身应用的安全以外,要保证所引用的第三方,或者合作伙伴也是安全的。也就是说安全是一个团队性的。
组件安全问题。
安全有四大原生的组建,第一个是Activity,首先是访问权限控制,组建处理不好会导致你的应用被恶意程序进行恶意的页面调用。作为研发人员,我们可以从以下三点来预防和避免这个问题:
私有的Activity不应该被其他应用启动且应该确保相对是安全的;
关于Intent的使用要谨慎处理接受的Intent,以及其携带的信息尽量不发送敏感信息,并进行数据校验。
设置Android:exported属性,不需要被外部程序调用的组建应该添加android:exported=”false”属性。
第二个组建安全是Service劫持、拒绝服务。常见的漏洞有 Java 空指针异常导致拒绝服务和类型转换异常导致的拒绝服务两种。应对 Service 带来的安全问题给大家三点建议:一我们应用在内部尽量使用 Service 设为私有,如果确认这个服务是自己私有的服务,就把它确认为私有,不要作为一个公开的服务;针对 Service 接收到的五数据应该进行校验;内部的Service需要使用签名级别的 protectionle。
安全编码规范
其实程序员的编码规范很重要。在Java中,对于一些重要的类、方法、变量,我们在定义的时候一定要想这么几个问题。
定义的类或者变量到底返回什么?
它们获得什么作为参数?
是否能够绕过安全线?
它是否含有能够绕过边界,从而绕过保护的方法变量?
有了这种思想之后,对于一些安全性的风险代码为了防止暴露,我们可以做一些操作,说限制对变量的访问,让每个量的方法都成为Final,尽量使你的类不要被克隆,如果一旦允许被克隆,它可能会绕过这个类轻易地复制类的属性。安卓中很多会使用到序列化,如果自己觉得这个类是有风险的,或者说安全性是很高的,尽量不要让它序列化。最后是避免硬编码影响数据。
在代码规范控制之余我们还可以从第三方防护加强APP安全性能。
产品特点:
覆盖面广
:覆盖移动应用的客户端、通信管道、后台服务端。安全检测从应用自身安全、业务操作安全、通讯数据安全、服务端安全4方面360度全面无死角发现APP安全漏洞。
检测项目多
:超过100个安全检测项,五个规则库涵盖恶意代码、恶意URL、恶意行为、主机漏洞、应用漏洞,且持续快速更新。
覆盖过程全
:覆盖应用开发全过程、应用安装包检测、应用运行时检测、应用卸载。
对标能力强
:全面对标常规基准、行业标准、监管要求等。
检测效率高
:最快可在2小时内完成移动应用客户端、通信管道、后台服务端安全检测。
测试环境灵活
:可在内网、外网开展移动应用安全检测。
多平台兼容
:全面支持Android/iOS应用。
多路监听技术
:基于网络流量监听引擎,从流量中自动提取资产列表,实现对大规模移动应用API的快速有效扫描,包括孤岛页面。
微信公众号支持
:首款支持微信公众号安全测试。
测试/分析分离
:测试人员根据安测宝的测试指引进行测试;分析人员在后台根据测试的结果进行APP的安全性分析。分工合理、明确、高效。
ps.
海云安目前拥有业内独立专业的信息安全实验室,2015-2016年陆续推出了多个具有自主知识产权的国内首创的移动安全产品,并主持引领了多项行业标准及规范制定,推动移动安全行业快速发展。
引领行业标准
• 参与制定信息安全国家标准
• 主编《深圳法人银行个人手机银行安全评估规范》
• 主持制定《金融服务移动应用信息安全指南》
打造安全生态
• 国内第一个移动应用真机测试服务平台(MATP)
• 国内首套移动应用安全风险评估系统(MARS)
• 国内第一台智能移动应用防火墙(iMAF)
• 新一代APP安全无壳加固技术产品(EMAC)
3264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
