【移动APP安全】别让你的手机成为潘多拉魔盒
发布时间:2017-09-30   作者:启明星辰

古老的希腊神话,宙斯为惩罚普罗米修斯盗取火种送给人类,创造了潘多拉,她拥有美丽、妩媚与语言的天赋,但她手中盒子盛满的祸害灾难与瘟疫,却被带到了人间。智能手机的出现对我们来讲就好像众神赐予的礼物,因为它强大功能与小巧身材的完美结合,为我们解决了生活中太多麻烦而琐碎的事情,但就如潘多拉一样,智能手机也有着如同魔盒一般的存在,这个存在也可能给我们带来风险与灾难。

 

作为由中国信息产业部和国家质量监督检验检疫总局授权成立的国内权威机构,中国泰尔实验室发布的一篇《金融客户端也会存在高危漏洞》的报道曾引起了社会各界人士的广泛关注,报道中明确提出了多家银行机构的手机APP端在不同程度上存在安全风险甚至高危漏洞,其中最让人担忧的就是转账过程中劫持账户行为。

 

启明星辰金融技术中心王海波称,由于手机APP存在的安全隐患较多,攻击成本低,不发分子较易获取利益,从而衍生出多种攻击手段,导致信息泄露和账户资产盗取的事件逐年增长。
 


某网络支付公司手机APP支付接口存在漏洞,不法分子利用技术手段修改充值金额,最后套现140余万元。

 

某银行商城手机APP,因为SQL注入漏洞而泄露大量用户的订单信息和个人资料,该商城的用户收到了以商场的名义打来的欺骗电话,造成用户被骗,涉案金额近百万元。

......

 

比如你在星巴克喝咖啡,连着星巴克的Wi-Fi,打开购物APP看中了一款钥匙链,正准备买,此时你不知道你可能用着一个假的APP付款,而你旁边的不法分子早已经攻入了你手机,并知道你的网银支付密码了。那么你账户里的钱呢,就看不法分子的心情了。

 

为什么会出现这种问题呢?是因为手机APP在通信时,未对传输的数据(账号或密码等重要信息)进行加密处理造成的。当然,这只是移动APP安全风险之一,其他的安全问题还有很多,比如钓鱼攻击、重放攻击等等。

 

这存在的所有问题都是手机APP在开发过程中,缺少的安全生命周期开发流程,或者存在代码缺陷所导致。

 

下面我们从多个维度去分析下一些企业安全风险产生的原因:

 

 ——“时间来不及了,我要上线!”

 

抢时间。想要优先抢占市场,就要缩短开发时间,导致出现安全问题。

 

——“我们没有专门的安全部门”

 

缺少一个具有安全意识的开发团队,内部安全人员在移动APP安全方面更是缺少经验。

 

——“我们已经做过安全检查了,怎么还有问题?”

 

对安全建设的概念存在误区。安全是一场博弈,永远不能够一劳永逸。

 

要真正规避这些风险,还要APP开发者承担起相关责任。《网络安全法》中明确了网络运营者的安全义务,企业造成用户个人信息泄露、财产损失,将有可能追究法律责任。

 

保障信息安全是企业运行中的一个重要环节,一些企业在信息安全建设方面缺乏相应的支持和资源,这就可能成为安全链条中的薄弱点。往往攻击者就会在薄弱的环节给予致命的打击。移动APP安全在整个信息安全建设中,需要企业寄予给多的关注,在解决移动APP的安全问题上,金融技术中心也给出了一些建议:

1) 培养开发人员的安全意识,严格遵循安全编码规范

2) 建立完整SDL安全开发生命周期,从需求开始抓安全,要覆盖业务流程的每一个环节

3) 对APP源码进行混淆、加壳等手段保护APP源码

4) 对APP的数据进行加密处理,重要信息不保存在本地

5) 上线发布前请专业的安全厂商进行全方位的安全评估

6) 拥有完善的应急响应机制,能够快速定位和处理安全问题
 


当然,启明星辰已经拥有了体系化的移动APP安全解决方案。方案从安全检测到安全加固,两个维度来解决移动APP安全问题,让移动APP更忠实的为我们服务。方案特点如下:

 

安全检测:客户端检测、业务流程检测、敏感信息泄露检测、数据通讯安全检测、服务端渗透安全检测、人工深度测试分析。

 

安全加固:使用APP加固包,做到界面劫持保护,安全键盘保护, 截屏保护,数据保护, 缓存文件保护等全方位安全保障。

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号