第25章 移动应用安全需求分析与安全保护工程
移动应用安全威胁与需求分析
-
移动应用系统组成
- 移动应用:APP
- 通信网络:无线网络、移动通信网络及互联网
- 应用服务端:相关服务器构成,负责处理app数据
-
移动应用安全分析
- 移动操作系统平台安全威胁:移动应用的安全性依赖于移动操作系统
- 无线网络攻击:通信内容监听、假冒基站、网络域名欺诈、网络钓鱼等攻击
- 恶意代码
- 移动应用代码逆向工程
- 移动应用程序非法篡改
Android系统安全与保护机制
-
Android系统安全体系
-
开源的移动终端操作系统,分成Linux内核层、系统运行层、应用程序框架层、应用程序层
-
常见威胁形式:APK重打包、更新攻击、诱惑下载、提权攻击、远程控制、恶意付费、敏感信息搜集
-
-
Android系统安全机制
- 权限声明机制
- 应用程序签名机制
- 沙箱机制:实现不同应用程序和进程之间的隔离
- 网络通信加密
- 内核安全机制
iOS系统安全与保护机制
-
iOS系统安全体系
-
分为:
- 核心操作系统层:提供本地认证、安全、外部访问、系统等服务
- 核心服务层:提供给应用所需要的基础系统服务
- 媒体层:提供应用中视听技术
- 可触摸层:触摸交互操作
-
-
iOS系统安全机制
- 安全启动链:iOS平台的安全依赖于启动链的安全
- 数据保护
- 数据的加密于保护机制:强制加密
- 地址空间布局随机化
- 代码签名
- 沙箱机制
移动应用安全保护机制与技术方案
- 移动应用App安全风险
- 逆向工程风险
- 篡改风险
- 数据窃取风险
- 移动应用App安全加固
- 防逆向、防调试、防篡改
- 数据防泄漏、传输数据防护
- 移动应用App安全监测
- 身份认证机制监测
- 通信会话安全机制检测
- 敏感信息保护机制检测
- 日志安全策略检测
- 交易流程安全机制检测
- 服务端鉴权机制检测
- 访问控制机制检测
- 数据防篡改能力检测
- 防SQL注入能力检测
- 防钓鱼能力检测
- App安全漏洞检测
移动应用安全综合应用案例分析
-
金融移动安全
- 实施移动App安全开发管理
- 移动App网络通信内容安全加密保护
- 移动App安全加固
- 移动App安全测评
- 移动App安全监测
-
运营商移动安全
- 风险:
- 账号、密码窃取
- 漏洞利用
- 恶意代码
- 数据窃取
- 恶意刷量、刷单
- 拒绝服务攻击
- 计费SDK破解
- 社工库诈骗
- 风险:
-
移动办公安全
