官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
说到App安全漏洞,大家并不陌生,网上关于App安全漏洞、用户信息泄露的新闻层出不穷。安全就像空气,虽然看不见摸不着,一旦出现安全问题没有及时修复,将会给开发者和用户带来很大的影响。梆梆安全移动安全专家将在本文中分享和探讨移动应用常见的风险以及相关安全建议,供大家参考。
01 移动应用安全分析
1 开发中的安全风险
在软件开发阶段,常见的安全风险:
第一,由于移动应用的开发人员对移动安全的攻防对抗了解较少,安全开发经验不足,同时由于开发周期的要求,无法进行有效的安全设计,导致软件在设计之初就会存在设计缺陷,容易导致系统性的安全风险。
第二,在开发过程中由于开发人员安全意识不足,管理流程不健全,导致引入第三方不可控风险代码,在软件出厂时就自带病毒、木马或后门。
第三,由于开发人员的经验不足导致的编码不规范、业务逻辑缺陷等安全问题也层出不穷,对移动政务的数据和业务安全带来了极大的影响。
2 发布中的安全风险
在软件发布阶段,常见的安全风险:由于发布准备时间短,发布版本频率较高,导致安全测试无法有效进行,部分版本甚至未经安全测试就对外发布,或者发布的应用未经过任何代码安全保护就对外发布,而移动应用本身就极容易被反编译、破解和二次打包,这就极大地增加源代码泄露的风险。
除以上安全问题外,隐私合规问题也是近年来国家监管机构关注的重点,移动应用违规采集个人信息、向境外传输敏感数据等违规问题不断出现,目前由于大部分的软件开发厂商对于国家隐私合规监管理解差异较大,这也导致移动应用存在极高的违规风险。
3 运行时的安全风险
在运行阶段,常见的安全风险:由于不确定移动应用在运行时所处的环境是否安全,同时也无法判断移动应用在运行过程中本身的状态,这就会导致黑产对应用进行非法渗透测试、撞库、脱壳、API接口暴力破解、横向越权等刷接口的操作,增加移动应用被攻击的风险,从而更容易导致数据泄露、未知逻辑漏洞被发现以及代码被反编译等潜在风险。
02 梆梆移动应用安全解决方案
梆梆安全针对移动应用客户端安全保障提供整体的解决方案,从底层代码加固、测评检查、运行安全监测到最后的安全运营的整个安全流程中提供全套解决方案。如下所示:
整体解决方案分为六个部分,分别是:应用安全保护、安全与合规检测、运行安全监测、安全运营、安全制度和标准体系以及安全和运营保障体系。
应用安全保护:通过代码加固、代码混淆等技术,利用梆梆安全代码加固平台对Android应用、iOS应用以及其他轻应用等进行加固处理,帮助客户解决应用反编译、调试攻击等问题,避免了在发布之后应用被反编译代码,出现应用盗版等安全风险。
应用检测类:采用自动化检测以及人工辅助检测等手段,利用梆梆安全的安全合规检测平台、安全测评平台以及人工安全服务对应用进行合规检测与安全测评,帮助客户解决应用合规以及应用安全的问题,避免在应用发布之后应用不合规的风险。
运行监测类:通过在应用中植入探针等技术,利用梆梆安全的渠道监测平台、应用安全监测平台以及API安全平台对全网600+应用市场、应用运行的过程以及运行的环境对外的接口等进行全方位的监测,帮助客户解决应用盗版、运行过程中的泄密、屏幕共享等风险,避免应用出现盗版以及在运行过程中被窃取相关敏感信息。
安全运营:通过日常安全运营,产品使用培训以及应用运行数据分析,对应用的运行状况实时把控,帮助客户应对突发安全事件,避免在安全事件突发时对政府或企业造成负面影响。
安全制度和标准体系:通过安全制度和标准体系的建立,对安全运营过程中的安全事件处理、信息访问权限的设定等制度,帮助客户在安全运营的过程中避免人为误操作所带来的的安全风险。
安全和运营保障体系:通过安全和运营保障体系的建立,对应用高标准、高要求提升移动端安全保障和风险防控能力,构建全方位、多层次、一致性的防护体系,帮助客户保障移动应用安全平稳地运行。
梆梆安全移动应用安全保障整体解决方案充分考虑移动应用建设过程的不同阶段,可有效帮助用户建立起移动应用全生命周期安全保障能力,解决移动客户端的开发安全风险、发布安全风险以及运行时的安全风险,保障用户移动安全平稳的运行。