登錄
登入

心智圖資源庫行動應用安全需求分析與安全保護工程

行動應用安全需求分析與安全保護工程

行動應用安全,網易易盾-專業的應用加強服務商,相容性高,0損耗,安全性高,免費試用.行動應用安全,網易易盾提供防逆向,防篡改,防調試,防二次打包等一站式應用加強方案.

編輯於2022-10-11 17:41:08

WSb6eYgD

最近的作品檢視更多>>

Anévrisme intracrânien
Il s'agit d'une carte mentale sur les anévrismes intracrâniens, avec le contenu principal, notamment: le congé, l'évaluation d'admission, les mesures infirmières, les mesures de traitement, les examens auxiliaires, les manifestations cliniques et les définitions.
Entretien de la comptabilité des coûts
Il s'agit d'une carte mentale sur l'entretien de comptabilité des coûts, le principal contenu comprend: 5. Liste des questions d'entrevue recommandées, 4. Compétences de base pour améliorer le taux de réussite, 3. Questions professionnelles, 2. Questions et réponses de simulation de scénarios, 1. Questions et réponses de capacité professionnelle.
Méthode de recherche de littérature
Il s'agit d'une carte mentale sur les méthodes de recherche de la littérature, et son contenu principal comprend: 5. Méthode complète, 4. Méthode de traçabilité, 3. Méthode de vérification des points, 2. Méthode de recherche inversée, 1. Méthode de recherche durable.

行動應用安全需求分析與安全保護工程

WSb6eYgD

最近的作品檢視更多>>

推薦給您
大綱

內部網路滲透常用指令
- 22
- 1
Deu-Martina
區域網路和城域網
- 8
WSUJfrxa
網路工程師 - 網路安全
- 14
- 1
슈퍼직장인

25.行動應用安全需求分析與安全保護工程

1. 行動應用安全威脅與需求分析

1. 行動應用系統組成

2. 行動應用安全分析

行動應用的安全威脅主要有以下類型。

（1）行動作業系統平台安全威脅。

（2）無線網路攻擊。如假性基地台、網路網域散詐、網路釣魚等攻擊活動。

（3）行動應用程式碼逆向工程。攻擊者透過對行動應用程式的二進位程式碼進行反編譯分析，取得行動應用程式碼的關鍵演算法想法或竊取敏感資料。

（4）行動應用程式非法慕改。非法篡改行動應用程序，竊取用戶資訊。也可能對伺服器造成威脅。

2. Android系統安全與保護機制

1. Android 系統組成概要

Android是一個開源的行動終端作業系統，其係統結構分成Linux核心層（Linux Kenel）、系統運行庫層（Libraries和Android Runtime）、應用程式框架層（Application Framenork）和應用程式層（Aoplications）。

Android系統的各層都面臨不同程度的安全威脅。其中，Android系統的基礎層安全威脅來自Linux核心攻擊。常見的形式有APK重打包（repackaging）、更新攻擊等。 ---例如植入木馬了再打包

2. Android系統安全機制

（1）應用程式層

應用程式層：權限聲明機制。為操作權限和物件之間設定了一些限制，只有把權限和物件綁定，才可以有權操作物件。應用程式層的權限包括normal權限、dangerous權限、signature權限、signature0rSystem權限。 normal權限不會給用戶帶來實質性的傷害；dangerous權限可能會給用戶帶來潛在威脅，如讀取用戶位置信息，讀取電話簿等；signature權限表示具有同一簽名的應用才能訪問；signature 0r System權限主要由設備商使用。

（2）應用程式框架層

應用程式框架層：應用程式簽章機制。 A所有安裝到Android系統中的應用程式都必須擁有一個數位證書，此數位證書用於標識應用程式的作者和應用程式之間的信任關係。

（3）系統運作層

1||| 沙箱隔漓機。

2||| 使用SSL／TSL協定對網路資料進行傳輸加密。

（4）系統的內核層

核心層：檔案系統安全、位址空間佈局隨機化、SELinux．

Android系統的核心層採用分區和LinuxACL權限控制機制，Linux ACL權限控制機制是指每個檔案的存取控制權限都由其擁有者、所屬的群組、讀寫執行三個方面共同控制。文件在創建時被賦予了不同的應用程式ID，只有擁有相同應用程式ID或被設定為全域可讀寫才能夠被其他應用程式所存取。每個應用程式均具有自己的使用者ID，並有自己的私有檔案目錄。在系統運作時，最外層的安全保護由Linux提供，其中system.img所在的分區是唯讀的，data.ing所在的分區是可讀寫的，用於存放使用者的資料。

在Android2.3版本之後增加了基於硬體的NX（NoeXecute）支持，不允許在堆疊中執行程式碼。在Android4.0之後，增加了「位址空間佈局隨機化（ASLR）」功能，以防止記憶體相關的攻擊。

3. I0S系統安全與保護機制

1. IOS系統組成概要

IOS的系統架構分為四個層次：核心作業系統層（Core OS Layer）、核心服務層（Core Services Layer）、媒體層（Media Layer）和可觸控層（Cocoa Touch Layer）。

（1）可觸摸層。

（2）媒體層。提供應用中視聽方面的技術。

（3）核心服務層，提供給應用程式所需的基礎的系統服務，如帳戶、資料儲存、網路連線、地理位置、運動框架等。

（4）核心作業系統層。提供本地認證、安全、外部存取、系統等服務。

2. IOS系統安全機制

IOS平台的安全架構可分為硬體、韌體、軟體。

硬體、韌體層由裝置金鑰、裝置組密鋼、蘋果根認證、加密引擎、核心組成。

軟體層則由檔案系統、作業系統分區、使用者分區、應用沙盒及資料保護類別所構成。

蘋果基於此整體安全架構，整合了多種安全機制，保護IOS平台的安全性，主要安全機制如下：

（1）安全啟動鏈。 IOS平台的安全依賴於啟動鏈的安全，為防止駭客攻擊啟動過程，IOS啟動過程使用的元件要求完整性驗證：確保信任傳遞可控。 IOS啟動程序：開啟IOS設備後，其應用程式處理器會立即執行唯讀記憶體（也稱為引導ROM）中的程式碼。這些不可更改的程式碼是在製造晶片時設定好的，為隱式受信任程式碼，引導ROM程式碼包含蘋果根CA公鑰，該公鑰用於驗證底層引導程式（LLB）是否經過蘋果簽名，以決定是否允許其載入。引導路徑從引導ROM出來之後分叉為兩條執行路徑：一條是普通引導；另一條則是設備韌體更新模式，這個模式用來更新i0S鏡像。

（2）資料保護。針對行動裝置因遺失或被竊取而導致的洩據資料的風險，提供了資料保護API。 API讓應用程式開發者盡可能簡單地對檔案和keychain項目中儲存的敏感使用者資料施以足夠的保護。

（3）資料的加密與保護機制，而IOS內所有使用者資料都是強制加密的（---不需要使用者設定）。蘋果的AES加解密引擎都是硬體級的，位於儲存與系統之間的DMA內，所有進出儲存的資料都要經過硬體的加密與解密，這提供了較高的效率與效能。除此之外，IOS提供了一種名為File Data Protection的資料保護方法。所有檔案在加密時使用的key都是不同的，這些key被稱為Profile Key，儲存於Netafile內。

（4）地址空間佈局隨機化。利用ASLR技術，確保IOS的二進位檔案、庫檔案、動態連結檔案、找和堆記憶體位址的位置是隨機分佈的，從而增強抗攻擊能力。

（5）代碼簽名。為防止應用程式攻擊，IOS系統要求所有可執行程式必須使用蘋果公司發放的憑證簽署。

（6）沙箱機制。透過沙箱機制，可以限制進程的惡意行為

4. 行動應用安全保護機制與技術方案

1. 行動應用程式App 安全性風險

行動應用程式App很容易遭受到反編譯、調試、竄改、資料竊取等安全家脅。

2. 行動應用App安全加固

1||| 防反編譯。對行動應用程式檔案進行加密處理，防止攻擊者通過靜態的反編譯工具。將行動應用程式進行程式碼混淆，增加破解者閱讀程式碼的難度。常見的混淆方法有名字混淆、控制混淆、計算混淆等。

2||| 防調試。應用程式設定調試檢測功能，以觸發反調試安全保護措施，如清理用戶資料、報告程式所在裝置的情況、禁止使用某些功能甚至直接退出運行。

3||| 防篡改，透過數位簽章和多重校驗的防護手段，驗證行動應用程式的完整性，防範行動應用程式APK被二次打包以及盜版。

4||| 防竊取，將行動應用程式相關的本地資料檔案、網路通訊等加密，防止資料被竊取。

3. 行動應用程式App 安全性偵測

常見的行動應用App網路安全偵測內容：認證機制偵測；通訊會話安全機制偵測；敏感資訊保護機制偵測：日誌安全策略偵測；交易流程安全機制偵測；服務端鑑權機制偵測；存取控制機制偵測；資料防篡改能力偵測；防SOL注入能力偵測：防釣魚安全能力偵測；App安全漏洞偵測。

《資訊安全科技行動互聯網應用程式（App）收集個人資訊基本規格（草稿）》。其中，針對Android6.0及以上的可收集個人資訊的權限，給出了服務類型的最小必要權限參考範圍，具體要求是：①地圖導航：位置權限、存儲權限； ②網絡約車：位置權限、撥打電話權限； ③即時通訊：儲存權限； ④部落格論壇：儲存權限；⑤網路付款：儲存權限； ⑥新聞資訊：無； ⑦網路購物：無； ⑧短視訊：儲存權限； ⑨快遞配送：無； ⑩餐飲外帶：地點權限、撥打電話權限；⑪交通票務：無；⑫婚戀相親：儲存權限；⑬ 求職招聘：儲存權限；⑭金融借貸：儲存權限；⑮房屋租售：儲存權限；⑯二手車交易：儲存權限；⑰運動健身：位置權限、感測器權限；⑱問診掛號：儲存權限；⑲網頁瀏覽器：無；⑳輸入法：無；⑳安全管理：儲存權限、取得應用程式帳戶、議取電話狀態權限、簡訊權限。

5. 行動應用安全綜台應用案例分析

1. 金融行動安全

常見的安全風險有木馬控制用戶手機、釣魚App捕獲用戶帳戶資訊、竊取轉移用戶資金等。

安全保護方案

1||| 實施行動App安全開發管理。針對金融業務安全性需求提供諮詢服務，協助客戶了解潛在安全風險、優化業務設計。在App設計時，考慮應用安全性問題。進行行動安全編程培訓，培養安全意識。 App增加安全防護功能，提供安全軟鍵盤、防介面動持、簡訊保護、清場等安全SDK和組件。對行動應用程式原始碼進行安全性檢查及風險檢查，減少App程式碼安全漏洞，及早發現金融業務安全風險。

2||| 行動App網路通訊內容安全加密保護，針對行動Aoo應用通訊協定進行加密保護。

3||| 移動App安全加固。對App進行安全性加固，如dex加密、smali流程混淆、so檔案加密、關鍵函數加密、增加反調試和反編譯功能。

4||| 移動Aop安全測評。對行動應用進行滲透性測試服務，挖掘行動應用的安全漏洞，避免安全風險。移動App安全監測。

5||| 釣魚監控及回應，對App的仿冒、釣魚應用程式進行釣魚監測及回應，快速聯繫頻道下架仿冒、釣魚應用App，避免安全影響。

6||| App漏洞監控及回應，監控行動裝置、行動應用程式、伺服器等新增、突發漏洞，及時規避漏洞風險。盜版監控及回應，監控App應用分送通路上出現的盜版應用，隨時進行盜版下架處理。

7||| 移動威脅安全態勢感知。

2. 營運商行動安全

安全威脅

1||| 帳號、密碼密取。

2||| 漏洞利用。

3||| 惡意程式碼。

4||| 惡意刷量、刷單，偽造大量虛假身分／盜用真實使用者身分進行自動化大批量的刷單、刷量。

5||| 拒絕服務攻擊。

6||| 計費SDK破解，透過反編譯、破解等手段，屏蔽、破解業者的行動應用程式計費SDK。

7||| 釣魚攻擊。仿冒正版的釣魚行動應用程式等。

8||| 社工庫詐騙，透過盜版、高仿應用程式收集用戶資訊，以及洩漏的其他社工庫，對用戶實施詐騙。

安全保護方案

1||| 加固營運商App，以及透過營運商應用市場推廣的所有第三方App。

2||| 對提交到營運商應用市場的第三方Aop提供病毒、木馬、惡意程式碼查殺服務。

3||| 對營運商的計費SDK提供基於防調、防改、防破解的加固保護服務。

4||| 對運營商的通訊協定、證書進行加密。

5||| 提供基於行動應用的威脅態勢感知服務，即時預警接取網路的異常流量、入侵攻擊、風險App等。

3. 行動辦公室安全

行動辦公主要面臨以下風險

1||| 設備遺失。

2||| 資訊外洩。

3||| 惡意攻擊。植入惡意程序，對組織機構伺服器進行入侵攻擊。

4||| 共享存取。員工分享設備、帳號密碼，洩漏組織機構機密資訊。

5||| WiFi監聽，接入釣魚熱點，通訊資料被劫持監聽。

針對行動辦公室安全問題，安全廠商提出行動裝置安全存取、行動裝置安全管理、行動惡意程式碼防範、行動App 安全加固等技術方案。

360行動終端安全管理系統方案

360 天機行動終端安全管理系統包括安全管理平台和行動用戶端兩個部分，透過管理平台對裝有行動用戶端的終端進行安全管理，提供對終端週邊管理、設定推送、系統參數調整等服務，同時結合管理員可控的安全策略機制，實現更全面的安全管控特性，解決了組織機構在行動辦公過程中遇到的資料安全以及設備管理的問題