移動服務安全現狀分析!
由於Android開源的環境,導致Android的整體環境都存在很多不安全的因素,同時用戶在移動APP客戶端的便捷應用,也給用戶帶來了巨大的安全隱患。未經過移動服務安全加固的APP存在被靜態反編譯、惡意篡改、二次打包、動態釣魚攻擊等多個安全隱患。靜態破解可讓黑客直接逆向出客戶端所有的功能代碼、加密演算法以及與伺服器通信的相關方法及URL等敏感信息。黑客可以隨意進行惡意代碼注入、篡改欺騙用戶甚至攻擊伺服器;動態攻擊可讓黑客進行相關敏感數據的竊取,如用戶核心賬戶信息、伺服器端相關信息等。
谷歌公司雖然從硬體方面強化設備安全性,通過TrustZone來實現他們的目的。TrustZone是系統內核中的一個獨立於內核中其它部分工作的特殊部分,負責處理最重要和敏感的操作(比如數據加密)。安全性得到一定的提升,用戶將可以在設備上執行設備認證、設備完整性檢查、設備綁定以及其他複雜的操作。但是Android在安全保護方面依然一直受限,因為其對潛在的整合缺少控制權。而且安卓系統的破碎性也讓用戶更難獲得最新的系統更新。
在大多數iOS應用的開發者看來,iOS系統擁有相對封閉的環境和嚴格的審核制度,每個app有著沙盒路徑,與安卓應用相比十分安全,無需進行安全保護。
但是危險遍佈於開發的各個階段,同時對安全的重視程度也間接提現了一個開發者的能力和意識,iOS系統本身漏洞的曝光新聞一直層出不窮,如mach_portal攻擊鏈、阿拉伯字元漏洞等等。數據調查分析公司arxan發布了一個讓人吃驚的數據,該數據顯示iOS平台排名前100的付費應用超過90%被破解。
在這種形式下,移動應用開發者需要改變觀念,除了對安卓應用進行加密保護外,還需要對iOS應用進行加密保護。
幾維安全在2016的APP年度分類排行榜,選取視頻、理財、音樂、電商、新聞、社交、自拍、工具以及遊戲九類APP榜單共計200個APP產品進行了檢測。
據檢測結果,200個APP榜單產品,漏洞總數達到上千個,平均每個APP含有12個漏洞。分行業計,遊戲行業所含漏洞數最高,平均漏洞數目超過15個,安全隱患相對較大;金融理財、電商、社交這三個行業的平均漏洞數都接近或超過13個,同樣需要高度重視。
這些被檢測的APP中近70%面世時間達3-5年,具備成熟的市場口碑,當前用戶規模和資產規模都高於同行業其他產品。它們高於普通APP的商業價值也更容易吸引黑產注意,如果遭遇安全事故,對APP有形的資產和無形的品牌都將造成嚴重損失。幾維安全建議APP開發者們加強移動服務安全工作,切實提高產品的安全性,更好地維護APP用戶利益和公司的品牌形象
推薦閱讀:
TAG:移動安全 |