Wondershare EdrawMind
Galleria mappe mentale Analisi dei requisiti di sicurezza delle applicazioni mobili e ingegneria della protezione della sicurezza
- 9
Analisi dei requisiti di sicurezza delle applicazioni mobili e ingegneria della protezione della sicurezza
Per la sicurezza delle applicazioni mobili, NetEase YiDun è un fornitore di servizi professionali di rinforzo delle applicazioni con elevata compatibilità, zero perdite, elevata sicurezza e prova gratuita. Per la sicurezza delle applicazioni mobili, NetEase YiDun fornisce anti-inversione, anti-manomissione, anti-debug e anti. -imballaggio secondario In attesa di una soluzione di rinforzo dell'applicazione one-stop.
Modificato alle 2022-10-11 17:41:08
Analisi dei requisiti di sicurezza delle applicazioni mobili e ingegneria della protezione della sicurezza
- Consigliato per te
- Profilo
25. Analisi dei requisiti di sicurezza delle applicazioni mobili e ingegneria della protezione della sicurezza
1. Analisi delle minacce e dei requisiti per la sicurezza delle applicazioni mobili
1. Composizione del sistema di applicazioni mobili
2. Analisi della sicurezza delle applicazioni mobili
I principali tipi di minacce alla sicurezza per le applicazioni mobili sono i seguenti.
(1) Minacce alla sicurezza per le piattaforme dei sistemi operativi mobili.
(2) Attacchi alle reti wireless. Come stazioni base contraffatte, frode di nomi di dominio, phishing e altre attività di attacco.
(3) Ingegneria inversa del codice dell'applicazione mobile. Gli aggressori decompilano e analizzano il codice binario delle applicazioni mobili per ottenere le idee chiave dell'algoritmo del codice sorgente dell'applicazione mobile o rubare dati sensibili.
(4) Modifica illegale di applicazioni mobili. Manomissione illegale di applicazioni mobili e furto di informazioni sugli utenti. Potrebbe anche rappresentare una minaccia per il server.
2. Meccanismo di sicurezza e protezione del sistema Android
1. Panoramica della composizione del sistema Android
Android è un sistema operativo per terminali mobili open source. La sua struttura di sistema è divisa in livello del kernel Linux (Linux Kenel), livello della libreria di runtime del sistema (Librerie e Android Runtime), livello del framework dell'applicazione (Application Framenork) e livello dell'applicazione (Applicazioni).
Ogni livello del sistema Android deve affrontare diversi gradi di minacce alla sicurezza. Tra questi, la minaccia alla sicurezza del livello base del sistema Android proviene dagli attacchi al kernel Linux. Le forme comuni includono il riconfezionamento degli APK, gli attacchi di aggiornamento, ecc. ---Ad esempio, impiantare un Trojan e quindi impacchettarlo
2. Meccanismo di sicurezza del sistema Android
(1) livello di applicazione
Livello applicazione: meccanismo di dichiarazione dei permessi. Vengono impostate alcune restrizioni tra le autorizzazioni operative e gli oggetti. Solo associando le autorizzazioni agli oggetti è possibile avere il diritto di utilizzare gli oggetti. Le autorizzazioni a livello di applicazione includono autorizzazioni normali, autorizzazioni pericolose, autorizzazioni per la firma e autorizzazioni per la firma0rSystem. Le autorizzazioni normali non causeranno danni sostanziali agli utenti; le autorizzazioni pericolose potrebbero comportare potenziali minacce per gli utenti, come la lettura delle informazioni sulla posizione dell'utente, la lettura delle rubriche telefoniche, ecc.; le autorizzazioni di firma possono accedere solo alle applicazioni con la stessa firma; sono utilizzati principalmente dai venditori di apparecchiature.
(2) livello del quadro applicativo
Livello del framework dell'applicazione: meccanismo di firma dell'applicazione. RTutte le applicazioni installate nel sistema Android devono disporre di un certificato digitale. Questo certificato digitale viene utilizzato per identificare la relazione di fiducia tra l'autore dell'applicazione e l'applicazione.
(3) Livello operativo del sistema
1||| Macchina separata dalla sandbox.
2||| Utilizza il protocollo SSL/TSL per crittografare la trasmissione dei dati di rete.
(4) Lo strato del kernel del sistema
Livello del kernel: sicurezza del file system, randomizzazione del layout dello spazio degli indirizzi, SELinux.
Il livello kernel del sistema Android adotta meccanismi di controllo delle partizioni e dei permessi ACL di Linux. Il meccanismo di controllo dei permessi ACL di Linux significa che i permessi di controllo dell'accesso di ciascun file sono controllati congiuntamente dal suo proprietario, dal gruppo a cui appartiene e dall'esecuzione di lettura-scrittura. . Ai file vengono assegnati ID applicazione diversi al momento della creazione. Altre applicazioni possono accedervi solo se hanno lo stesso ID applicazione o sono impostati per essere leggibili e scrivibili a livello globale. Ogni applicazione ha il proprio ID utente e la propria directory di file privata. Quando il sistema è in esecuzione, il livello più esterno di protezione di sicurezza è fornito da Linux. La partizione in cui si trova system.img è di sola lettura e la partizione in cui si trova data.ing è di lettura-scrittura e viene utilizzata per archiviare i dati dell'utente. .
Il supporto NX (NoeXecute) basato su hardware è stato aggiunto dopo la versione Android 2.3, che non consente l'esecuzione di codice nello stack. Dopo Android 4.0 è stata aggiunta la funzione "Address Space Layout Randomization (ASLR)" per prevenire attacchi legati alla memoria.
3. Meccanismo di sicurezza e protezione del sistema IOS
1. Panoramica dei componenti del sistema IOS
L'architettura del sistema IOS è divisa in quattro livelli: Core OS Layer, Core Services Layer, Media Layer e Cocoa Touch Layer.
(1) Strato tangibile.
(2) Strato multimediale. Fornisce la tecnologia per gli aspetti audiovisivi delle applicazioni.
(3) Livello di servizio principale, che fornisce i servizi di sistema di base richiesti dalle applicazioni, come account, archiviazione dati, connessioni di rete, posizione geografica, framework di movimento, ecc.
(4) Livello principale del sistema operativo. Fornire autenticazione locale, sicurezza, accesso esterno, sistema e altri servizi.
2. Meccanismo di sicurezza del sistema IOS
L'architettura di sicurezza della piattaforma IOS può essere suddivisa in hardware, firmware e software.
I livelli hardware e firmware sono costituiti da chiavi del dispositivo, acciaio di crittografia del gruppo di dispositivi, certificazione root Apple, motore di crittografia e kernel.
Il livello software è costituito da file system, partizione del sistema operativo, partizione utente, sandbox dell'applicazione e classe di protezione dei dati.
Sulla base di questa architettura di sicurezza complessiva, Apple ha integrato una varietà di meccanismi di sicurezza per proteggere la sicurezza della piattaforma IOS. I principali meccanismi di sicurezza sono i seguenti:
(1) Catena di avvio sicura. La sicurezza della piattaforma IOS si basa sulla sicurezza della catena di avvio Per impedire agli hacker di attaccare il processo di avvio, i componenti utilizzati nel processo di avvio IOS richiedono la verifica dell'integrità: garantire che il trasferimento della fiducia sia controllabile. Processo di avvio IOS: dopo aver acceso un dispositivo IOS, il suo processore applicativo esegue immediatamente il codice nella memoria di sola lettura (chiamata anche ROM di avvio). Questo codice immutabile viene impostato al momento della produzione del chip ed è un codice implicitamente attendibile. Il codice della ROM di avvio contiene la chiave pubblica della CA root di Apple, che viene utilizzata per verificare che il caricatore di avvio sottostante (LLB) sia firmato da Apple caricarlo. Il percorso di avvio si biforca in due percorsi di esecuzione dopo l'uscita dalla ROM di avvio: uno è un avvio normale; l'altro è la modalità di aggiornamento del firmware del dispositivo, utilizzata per aggiornare l'immagine iOS.
(2) Protezione dei dati. Viene fornita un'API di protezione dei dati per affrontare il rischio di perdita di dati causata dallo smarrimento o dal furto dei dispositivi mobili. L'API rende il più semplice possibile per gli sviluppatori di applicazioni proteggere adeguatamente i dati sensibili degli utenti archiviati in file ed elementi portachiavi.
(3) Meccanismo di crittografia e protezione dei dati e tutti i dati utente in IOS sono obbligatoriamente crittografati (--- non sono richieste impostazioni utente). I motori di crittografia e decrittografia AES di Apple sono a livello hardware e si trovano nel DMA tra l'archiviazione e il sistema. Tutti i dati in entrata e in uscita dall'archiviazione devono essere crittografati e decrittografati dall'hardware, che fornisce efficienza e prestazioni più elevate. Oltre a questo, IOS fornisce un metodo di protezione dei dati chiamato File Data Protection. Tutti i file utilizzano chiavi diverse durante la crittografia. Queste chiavi sono chiamate chiavi del profilo e sono archiviate in Netafile.
(4) Randomizzazione del layout dello spazio degli indirizzi. Utilizzare la tecnologia ASLR per garantire che le posizioni dei file binari IOS, dei file di libreria, dei file di collegamento dinamico, degli indirizzi di ricerca e di memoria heap siano distribuiti in modo casuale, migliorando così la resistenza agli attacchi.
(5) Firma del codice. Per prevenire attacchi alle applicazioni, il sistema iOS richiede che tutti i programmi eseguibili debbano essere firmati con un certificato emesso da Apple.
(6) Meccanismo sandbox. Attraverso il meccanismo sandbox, il comportamento dannoso del processo può essere limitato
4. Meccanismi di protezione della sicurezza delle applicazioni mobili e soluzioni tecniche
1. Rischi per la sicurezza delle app mobili
Le app mobili sono vulnerabili alle minacce alla sicurezza come decompilazione, debug, manomissione e furto di dati.
2. Rafforzamento della sicurezza delle app mobili
1||| Anti-decompilazione. Crittografa i file delle applicazioni mobili per impedire agli aggressori di utilizzare strumenti di decompilazione statici. L'offuscamento del codice per le applicazioni mobili rende più difficile la lettura del codice da parte dei cracker. I metodi comuni di confusione includono confusione nei nomi, confusione nei controlli, confusione nei calcoli, ecc.
2||| Anti-debug. L'applicazione imposta la funzione di rilevamento del debug per attivare misure di protezione della sicurezza anti-debug, come la pulizia dei dati dell'utente, la segnalazione della situazione del dispositivo su cui si trova il programma, il divieto dell'uso di determinate funzioni o addirittura l'uscita diretta dall'operazione.
3||| Anti-manomissione, attraverso la firma digitale e metodi di protezione multi-verifica, verifica l'integrità delle applicazioni mobili e impedisce il riconfezionamento e la pirateria degli APK delle applicazioni mobili.
4||| Antifurto: crittografa i file di dati locali e le comunicazioni di rete relative alle applicazioni mobili per impedire il furto dei dati.
3. Rilevamento della sicurezza delle app mobili
Contenuti comuni di rilevamento della sicurezza della rete dell'applicazione mobile: rilevamento del meccanismo di autenticazione dell'identità; rilevamento del meccanismo di protezione delle informazioni sensibili: rilevamento del meccanismo di sicurezza del processo di transazione; rilevamento del meccanismo di controllo dell'accesso ai dati; rilevamento della capacità di manomissione; rilevamento della capacità di iniezione SOL: rilevamento della capacità di sicurezza anti-phishing; rilevamento della vulnerabilità della sicurezza dell'app.
"Specifiche di base della tecnologia di sicurezza dell'informazione per la raccolta di informazioni personali tramite applicazioni Internet mobili (app) (bozza)". Tra questi, per le autorizzazioni che possono raccogliere informazioni personali in Android 6.0 e versioni successive, viene fornito l'intervallo di riferimento minimo necessario per le tipologie di servizio. I requisiti specifici sono: ① Navigazione della mappa: autorizzazioni di posizione, autorizzazioni di archiviazione ② Ride-hailing online: autorizzazioni di localizzazione, autorizzazione per effettuare telefonate; ③Messaggistica istantanea: autorizzazione di archiviazione; ④Forum blog: autorizzazione di archiviazione; ⑨Consegna espressa: nessuna; : permesso di localizzazione, permesso di chiamata; ⑪Biglietteria di trasporto: nessuno; ⑫Incontri: permesso di deposito; ⑬Reclutamento di lavoro: permesso di deposito; ⑮Affitto e vendita di case: permesso di deposito; : autorizzazioni di localizzazione, autorizzazioni del sensore; ⑱ Consultazione e registrazione: autorizzazioni di archiviazione; ⑲ Browser Web: nessuna; ⑳ Metodo di immissione: nessuna; ⑳ Gestione della sicurezza: autorizzazioni di archiviazione, acquisizione di account dell'applicazione e acquisizione dello stato del telefono.
5. Analisi completa dei casi applicativi sulla sicurezza delle applicazioni mobili
1. Sicurezza mobile finanziaria
I rischi per la sicurezza più comuni includono trojan che controllano i telefoni cellulari degli utenti, app di phishing che catturano informazioni sugli account degli utenti e rubano e trasferiscono i fondi degli utenti.
Piano di tutela della sicurezza
1||| Implementare la gestione dello sviluppo della sicurezza delle app mobili. Fornire servizi di consulenza per le esigenze di sicurezza delle aziende finanziarie per aiutare i clienti a comprendere i potenziali rischi per la sicurezza e ottimizzare la progettazione aziendale. Quando si progetta un'app, considerare i problemi di sicurezza dell'applicazione. Condurre corsi di formazione sulla programmazione della sicurezza mobile per coltivare la consapevolezza della sicurezza. L'app aggiunge funzioni di protezione della sicurezza e fornisce SDK e componenti di sicurezza come tastiera virtuale sicura, controllo del movimento anti-interfaccia, protezione SMS e sgombero del sito. Condurre controlli di sicurezza e ispezioni dei rischi sul codice sorgente delle applicazioni mobili per ridurre le vulnerabilità della sicurezza nel codice dell'app e rilevare tempestivamente i rischi per la sicurezza delle attività finanziarie.
2||| Il contenuto della comunicazione di rete dell'app mobile è crittografato e protetto in modo sicuro e il protocollo di comunicazione dell'applicazione mobile Aoo è crittografato e protetto.
3||| Rafforzamento della sicurezza dell'app mobile. Esegui il rafforzamento della sicurezza sull'app, come la crittografia dex, l'offuscamento dei piccoli processi, quindi la crittografia dei file, la crittografia delle funzioni chiave e aggiungi funzioni anti-debug e decompilazione.
4||| Valutazione della sicurezza Aop mobile. Fornire servizi di test di penetrazione per le applicazioni mobili per scoprire le vulnerabilità della sicurezza nelle applicazioni mobili ed evitare rischi per la sicurezza. Monitoraggio della sicurezza delle app mobili.
5||| Monitoraggio e risposta al phishing: monitora e rispondi alle app di contraffazione e di phishing e contatta rapidamente i canali per rimuovere le app contraffatte e di phishing per evitare impatti sulla sicurezza.
6||| Monitoraggio e risposta alle vulnerabilità delle app, monitorare le vulnerabilità nuove ed emergenti nei dispositivi mobili, nelle applicazioni mobili, nei server, ecc. ed evitare tempestivamente i rischi di vulnerabilità. Monitoraggio e risposta alla pirateria, monitoraggio delle applicazioni piratate visualizzate sui canali di distribuzione delle applicazioni dell'app e rimozione delle applicazioni piratate in qualsiasi momento.
7||| Consapevolezza situazionale della sicurezza delle minacce mobili.
2. Sicurezza mobile dell'operatore
minacce alla sicurezza
1||| Acquisizione segreta di account e password.
2||| Impresa.
3||| Codice malevolo.
4||| Spazzolatura dannosa di ordini e ordini, falsificazione di un gran numero di false identità/furto di identità di utenti reali per lavare automaticamente ordini e ordini in grandi quantità.
5||| Attacco di negazione del servizio.
6||| Il cracking dell'SDK di fatturazione, tramite decompilazione, cracking e altri mezzi, protegge e viola l'SDK di fatturazione dell'applicazione mobile dell'operatore.
7||| Attacchi di phishing. Applicazioni mobili di phishing autentiche contraffatte, ecc.
8||| La frode nelle biblioteche di ingegneria sociale prevede la raccolta di informazioni sugli utenti tramite applicazioni piratate e ad alta imitazione, nonché altre biblioteche di ingegneria sociale trapelate, per frodare gli utenti.
Piano di tutela della sicurezza
1||| Rafforzare le app per operatori e tutte le app di terze parti promosse attraverso il mercato delle app per operatori.
2||| Fornisce servizi di rilevamento di virus, trojan e codici dannosi per AOP di terze parti inviati al mercato delle applicazioni dell'operatore.
3||| Fornisce servizi di protezione rinforzata basati su anti-aggiustamento, anti-modifica e anti-cracking per l'SDK di fatturazione dell'operatore.
4||| Crittografare i protocolli e i certificati di comunicazione dell'operatore.
5||| Fornisce servizi di consapevolezza della situazione delle minacce basati su applicazioni mobili, fornendo avvisi in tempo reale di traffico anomalo, attacchi di intrusione, app rischiose, ecc. connesse alla rete.
3. Sicurezza dell'ufficio mobile
L’ufficio mobile è esposto principalmente ai seguenti rischi:
1||| Manca il dispositivo.
2||| Perdita di informazioni.
3||| attaccare di proposito. Impianta programmi dannosi per condurre attacchi di intrusione sui server dell'organizzazione.
4||| Accesso condiviso. I dipendenti condividono dispositivi, password di account e diffondono informazioni riservate dell'organizzazione.
5||| Monitoraggio WiFi, accesso agli hotspot di phishing, i dati di comunicazione vengono dirottati e monitorati.
In risposta ai problemi di sicurezza degli uffici mobili, i fornitori di sicurezza hanno proposto soluzioni tecniche come l’accesso sicuro ai dispositivi mobili, la gestione della sicurezza dei dispositivi mobili, la prevenzione del codice dannoso mobile e il rafforzamento della sicurezza delle app mobili.
Soluzione di sistema di gestione della sicurezza dei terminali mobili a 360°
Il sistema di gestione della sicurezza dei terminali mobili 360 Tianji è composto da due parti: piattaforma di gestione della sicurezza e client mobile. Attraverso la piattaforma di gestione, i terminali dotati di client mobili vengono gestiti in modo sicuro e vengono forniti servizi come la gestione delle periferiche del terminale, il push di configurazione e la regolazione dei parametri di sistema. Allo stesso tempo, in combinazione con il meccanismo di policy di sicurezza controllabile dall'amministratore, raggiunge funzionalità di gestione e controllo della sicurezza più complete e risolve i problemi di sicurezza dei dati e di gestione dei dispositivi incontrati dalle organizzazioni durante le operazioni di ufficio mobile.