Wondershare EdrawMind
Galeria de mapas mentais Análise de requisitos de segurança de aplicativos móveis e engenharia de proteção de segurança
- 7
Análise de requisitos de segurança de aplicativos móveis e engenharia de proteção de segurança
Para segurança de aplicativos móveis, NetEase YiDun é um provedor profissional de serviços de reforço de aplicativos com alta compatibilidade, perda zero, alta segurança e teste gratuito. Para segurança de aplicativos móveis, NetEase YiDun fornece anti-reverso, anti-adulteração, anti-depuração e anti-. -embalagem secundária Aguardando uma solução de reforço de aplicação completa.
Editado em 2022-10-11 17:41:08
Análise de requisitos de segurança de aplicativos móveis e engenharia de proteção de segurança
- Recomendado para você
- Descrição
25. Análise de requisitos de segurança de aplicativos móveis e engenharia de proteção de segurança
1. Ameaças à segurança de aplicativos móveis e análise de requisitos
1. Composição do sistema de aplicativos móveis
2. Análise de segurança de aplicativos móveis
Os principais tipos de ameaças à segurança de aplicativos móveis são os seguintes.
(1) Ameaças à segurança de plataformas de sistemas operacionais móveis.
(2) Ataques a redes sem fio. Como estações base falsificadas, fraude de nomes de domínio, phishing e outras atividades de ataque.
(3) Engenharia reversa de código de aplicativo móvel. Os invasores descompilam e analisam o código binário de aplicativos móveis para obter as principais ideias de algoritmos do código-fonte do aplicativo móvel ou roubar dados confidenciais.
(4) Modificação ilegal de aplicações móveis. Adulteração ilegal de aplicativos móveis e roubo de informações do usuário. Também pode representar uma ameaça ao servidor.
2. Mecanismo de segurança e proteção do sistema Android
1. Visão geral da composição do sistema Android
Android é um sistema operacional de terminal móvel de código aberto. Sua estrutura de sistema é dividida em camada de kernel Linux (Linux Kenel), camada de biblioteca de tempo de execução do sistema (Bibliotecas e Android Runtime), camada de estrutura de aplicativo (Application Framenork) e camada de aplicativo (Aplicativos).
Cada camada do sistema Android enfrenta vários graus de ameaças à segurança. Entre eles, a ameaça básica à segurança da camada do sistema Android vem dos ataques ao kernel Linux. Os formulários comuns incluem reempacotamento de APK, ataques de atualização, etc. ---Por exemplo, implante um Trojan e empacote-o
2. Mecanismo de segurança do sistema Android
(1) camada de aplicação
Camada de aplicação: mecanismo de declaração de permissão. Algumas restrições são definidas entre permissões de operação e objetos. Somente vinculando permissões a objetos você pode ter o direito de operar objetos. As permissões na camada de aplicativo incluem permissões normais, permissões perigosas, permissões de assinatura e permissões de assinatura0rSystem. Permissões normais não causarão danos substanciais aos usuários; permissões perigosas podem trazer ameaças potenciais aos usuários, como leitura de informações de localização do usuário, leitura de listas telefônicas, etc.; permissões de assinatura significam que apenas aplicativos com a mesma assinatura podem acessar permissões do sistema; são usados principalmente por fornecedores de equipamentos.
(2) camada de estrutura de aplicativo
Camada de estrutura de aplicativo: mecanismo de assinatura de aplicativo. ATodos os aplicativos instalados no sistema Android devem possuir um certificado digital. Este certificado digital é utilizado para identificar a relação de confiança entre o autor do aplicativo e o aplicativo.
(3) Camada de operação do sistema
1||| Máquina separada em sandbox.
2||| Use o protocolo SSL/TSL para criptografar a transmissão de dados da rede.
(4) A camada do kernel do sistema
Camada do kernel: segurança do sistema de arquivos, randomização do layout do espaço de endereço, SELinux.
A camada kernel do sistema Android adota mecanismos de controle de permissão de partição e ACL do Linux. O mecanismo de controle de permissão do Linux ACL significa que as permissões de controle de acesso de cada arquivo são controladas conjuntamente por seu proprietário, o grupo ao qual pertence e a execução de leitura e gravação. . Os arquivos recebem diferentes IDs de aplicativo quando são criados. Eles só poderão ser acessados por outros aplicativos se tiverem o mesmo ID de aplicativo ou estiverem configurados para serem legíveis e graváveis globalmente. Cada aplicativo possui seu próprio ID de usuário e seu próprio diretório de arquivos privado. Quando o sistema está em execução, a camada mais externa de proteção de segurança é fornecida pelo Linux. A partição onde system.img está localizado é somente leitura e a partição onde data.ing está localizado é de leitura e gravação e é usada para armazenar dados do usuário. .
O suporte NX baseado em hardware (NoeXecute) foi adicionado após a versão Android 2.3, que não permite a execução de código na pilha. Após o Android 4.0, a função "Address Space Layout Randomization (ASLR)" foi adicionada para evitar ataques relacionados à memória.
3. Mecanismo de segurança e proteção do sistema IOS
1. Visão geral dos componentes do sistema IOS
A arquitetura do sistema IOS é dividida em quatro níveis: Core OS Layer, Core Services Layer, Media Layer e Cocoa Touch Layer.
(1) Camada tocável.
(2) Camada de mídia. Fornece tecnologia para aspectos audiovisuais de aplicações.
(3) Camada de serviço central, que fornece serviços básicos do sistema exigidos pelos aplicativos, como contas, armazenamento de dados, conexões de rede, localização geográfica, estrutura de movimento, etc.
(4) Camada central do sistema operacional. Fornece autenticação local, segurança, acesso externo, sistema e outros serviços.
2. Mecanismo de segurança do sistema IOS
A arquitetura de segurança da plataforma IOS pode ser dividida em hardware, firmware e software.
As camadas de hardware e firmware consistem em chaves de dispositivo, aço de criptografia de grupo de dispositivos, certificação raiz Apple, mecanismo de criptografia e kernel.
A camada de software consiste no sistema de arquivos, partição do sistema operacional, partição do usuário, sandbox do aplicativo e classe de proteção de dados.
Com base nesta arquitetura de segurança geral, a Apple integrou uma variedade de mecanismos de segurança para proteger a segurança da plataforma IOS. Os principais mecanismos de segurança são os seguintes:
(1) Cadeia de inicialização segura. A segurança da plataforma IOS depende da segurança da cadeia de inicialização. Para evitar que hackers ataquem o processo de inicialização, os componentes usados no processo de inicialização do IOS exigem verificação de integridade: garantir que a transferência de confiança seja controlável. Processo de inicialização do IOS: Depois que um dispositivo IOS é ligado, seu processador de aplicativo executa imediatamente o código na memória somente leitura (também chamada de ROM de inicialização). Este código imutável é definido quando o chip é fabricado e é um código implicitamente confiável. O código ROM de inicialização contém a chave pública da CA raiz da Apple, que é usada para verificar se o carregador de inicialização subjacente (LLB) é assinado pela Apple. para carregar. O caminho de inicialização se bifurca em dois caminhos de execução após sair da ROM de inicialização: um é uma inicialização normal e o outro é o modo de atualização de firmware do dispositivo, que é usado para atualizar a imagem do iOS;
(2) Proteção de dados. Uma API de proteção de dados é fornecida para lidar com o risco de vazamento de dados causado pela perda ou roubo de dispositivos móveis. A API torna o mais fácil possível para os desenvolvedores de aplicativos proteger adequadamente os dados confidenciais do usuário armazenados em arquivos e itens de chaves.
(3) Mecanismo de criptografia e proteção de dados, e todos os dados do usuário no IOS são criptografados obrigatoriamente (--- nenhuma configuração do usuário é necessária). Os mecanismos de criptografia e descriptografia AES da Apple são de nível de hardware e estão localizados no DMA entre o armazenamento e o sistema. Todos os dados que entram e saem do armazenamento devem ser criptografados e descriptografados por hardware, o que proporciona maior eficiência e desempenho. Além disso, o IOS fornece um método de proteção de dados chamado File Data Protection. Todos os arquivos usam chaves diferentes ao criptografá-los. Essas chaves são chamadas de chaves de perfil e são armazenadas no Netafile.
(4) Randomização do layout do espaço de endereço. Use a tecnologia ASLR para garantir que as localizações dos arquivos binários do IOS, arquivos de biblioteca, arquivos de link dinâmico, endereços de pesquisa e memória heap sejam distribuídos aleatoriamente, aumentando assim a resistência a ataques.
(5) Assinatura de código. Para evitar ataques a aplicativos, o sistema iOS exige que todos os programas executáveis sejam assinados com um certificado emitido pela Apple.
(6) Mecanismo de caixa de areia. Através do mecanismo sandbox, o comportamento malicioso do processo pode ser restringido
4. Mecanismos de proteção de segurança de aplicações móveis e soluções técnicas
1. Riscos de segurança de aplicativos móveis
Os aplicativos móveis são vulneráveis a ameaças de segurança, como descompilação, depuração, adulteração e roubo de dados.
2. Reforço de segurança de aplicativos móveis
1||| Anti-descompilação. Criptografe arquivos de aplicativos móveis para evitar que invasores usem ferramentas de descompilação estática. A ofuscação de código para aplicativos móveis torna mais difícil para os crackers lerem o código. Os métodos comuns de confusão incluem confusão de nomes, confusão de controle, confusão de cálculos, etc.
2||| Anti-depuração. O aplicativo configura a função de detecção de depuração para acionar medidas de proteção de segurança anti-depuração, como limpeza de dados do usuário, reportar a situação do dispositivo onde o programa está localizado, proibir o uso de determinadas funções ou até mesmo sair da operação diretamente.
3||| A anti-adulteração, por meio de assinatura digital e métodos de proteção de multiverificação, verifica a integridade dos aplicativos móveis e evita que APKs de aplicativos móveis sejam reembalados e pirateados.
4||| Antifurto: criptografe arquivos de dados locais e comunicações de rede relacionadas a aplicativos móveis para evitar roubo de dados.
3. Detecção de segurança de aplicativos móveis
Conteúdo comum de detecção de segurança de rede de aplicativos de aplicativos: detecção de mecanismo de segurança de sessão de comunicação de identidade; detecção de mecanismo de controle de acesso de segurança de log; detecção de capacidade anti-adulteração; detecção de capacidade de injeção SOL: detecção de vulnerabilidade de segurança de aplicativos;
"Especificações básicas de tecnologia de segurança da informação para coleta de informações pessoais por aplicativos (aplicativos) de Internet móvel (rascunho)" . Entre eles, para as permissões que podem coletar informações pessoais no Android 6.0 e superior, é fornecido o intervalo de referência de permissão mínimo necessário para os tipos de serviço. Os requisitos específicos são: ① Navegação no mapa: permissões de localização, permissões de armazenamento; permissões de localização, permissão para fazer chamadas; ③Mensagens instantâneas: permissão de armazenamento; ⑧Vídeo curto: permissão de armazenamento; ⑨Entrega expressa: nenhuma; : permissão de localização, permissão de chamada; ⑪Bilhetes de transporte: nenhum; ⑫Namoro: permissão de armazenamento ⑬Recrutamento de trabalho: permissão de armazenamento; ⑰Permissão de armazenamento; : permissões de localização, permissões de sensor; ⑱ Consulta e registro: permissões de armazenamento; ⑲ Navegador da Web: Nenhum; ⑳ Método de entrada: Nenhum ⑳ Gerenciamento de segurança: permissões de armazenamento, obtenção de contas de aplicativos e permissões de status do telefone, permissões de SMS.
5. Análise abrangente de casos de aplicativos de segurança de aplicativos móveis
1. Segurança móvel financeira
Os riscos de segurança comuns incluem trojans que controlam os telemóveis dos utilizadores, aplicações de phishing que capturam informações da conta do utilizador e roubam e transferem fundos dos utilizadores.
Plano de proteção de segurança
1||| Implemente o gerenciamento de desenvolvimento de segurança de aplicativos móveis. Fornecer serviços de consultoria para necessidades de segurança de negócios financeiros para ajudar os clientes a compreender riscos potenciais de segurança e otimizar o design de negócios. Ao projetar um aplicativo, considere as questões de segurança do aplicativo. Conduza treinamento de programação de segurança móvel para cultivar a conscientização sobre segurança. O aplicativo adiciona funções de proteção de segurança e fornece SDKs e componentes de segurança, como teclado virtual seguro, controle de movimento anti-interface, proteção por SMS e liberação de site. Realize verificações de segurança e inspeções de risco no código-fonte de aplicativos móveis para reduzir vulnerabilidades de segurança no código do aplicativo e detectar antecipadamente riscos de segurança de negócios financeiros.
2||| O conteúdo de comunicação da rede do aplicativo móvel é criptografado e protegido com segurança, e o protocolo de comunicação do aplicativo móvel Aoo é criptografado e protegido.
3||| Reforço de segurança de aplicativos móveis. Realize reforço de segurança no aplicativo, como criptografia dex, ofuscação de processo smali, criptografia de arquivos, criptografia de função chave e adicione funções de anti-depuração e descompilação.
4||| Avaliação de segurança Mobile Aop. Forneça serviços de teste de penetração para aplicativos móveis para descobrir vulnerabilidades de segurança em aplicativos móveis e evitar riscos de segurança. Monitoramento de segurança de aplicativos móveis.
5||| Monitoramento e resposta a phishing: monitore e responda a aplicativos falsificados e de phishing e entre em contato rapidamente com canais para remover aplicativos falsificados e de phishing e evitar impactos na segurança.
6||| Monitoramento e resposta a vulnerabilidades de aplicativos, monitore vulnerabilidades novas e emergentes em dispositivos móveis, aplicativos móveis, servidores, etc., e evite riscos de vulnerabilidade em tempo hábil. Monitoramento e resposta à pirataria, monitore aplicativos piratas que aparecem nos canais de distribuição de aplicativos de aplicativos e remova aplicativos piratas a qualquer momento.
7||| Consciência situacional de segurança contra ameaças móveis.
2. Segurança móvel da operadora
ameaças à segurança
1||| Captura secreta de conta e senha.
2||| Explorar.
3||| Código malicioso.
4||| Escovação maliciosa de pedidos e pedidos, forjando um grande número de identidades falsas/roubando identidades reais de usuários para lavar automaticamente pedidos e pedidos em grandes quantidades.
5||| Ataque de negação de serviço.
6||| O cracking do SDK de faturamento, por meio de descompilação, cracking e outros meios, protege e quebra o SDK de faturamento do aplicativo móvel da operadora.
7||| Ataques de phishing. Aplicativos móveis de phishing genuínos falsificados, etc.
8||| A fraude em bibliotecas de engenharia social envolve a coleta de informações do usuário por meio de aplicativos piratas e de alta imitação, bem como de outras bibliotecas de engenharia social vazadas, para fraudar os usuários.
Plano de proteção de segurança
1||| Reforce os aplicativos da operadora e todos os aplicativos de terceiros promovidos no mercado de aplicativos da operadora.
2||| Fornece serviços de detecção de vírus, cavalos de Tróia e códigos maliciosos para AOPs de terceiros enviados ao mercado de aplicativos da operadora.
3||| Fornece serviços de proteção de reforço baseados em antiajuste, antimodificação e anticracking para o SDK de faturamento da operadora.
4||| Criptografe os protocolos e certificados de comunicação da operadora.
5||| Fornece serviços de conscientização de situações de ameaças com base em aplicativos móveis, fornecendo avisos em tempo real sobre tráfego anormal, ataques de intrusão, aplicativos arriscados, etc., conectados à rede.
3. Segurança de escritório móvel
O escritório móvel enfrenta principalmente os seguintes riscos:
1||| O dispositivo está faltando.
2||| Vazamento de informação.
3||| atacar de propósito. Implante programas maliciosos para conduzir ataques de intrusão em servidores organizacionais.
4||| Acesso compartilhado. Os funcionários compartilham dispositivos, senhas de contas e vazam informações organizacionais confidenciais.
5||| Monitoramento de WiFi, acesso a pontos de acesso de phishing, dados de comunicação são sequestrados e monitorados.
Em resposta aos problemas de segurança de escritórios móveis, os fornecedores de segurança propuseram soluções técnicas, como acesso seguro a dispositivos móveis, gerenciamento de segurança de dispositivos móveis, prevenção de códigos maliciosos móveis e reforço de segurança de aplicativos móveis.
Solução de sistema de gerenciamento de segurança de terminal móvel 360
O sistema de gerenciamento de segurança de terminal móvel 360 Tianji consiste em duas partes: plataforma de gerenciamento de segurança e cliente móvel. Por meio da plataforma de gerenciamento, os terminais equipados com clientes móveis são gerenciados com segurança e serviços como gerenciamento de periféricos de terminal, envio de configuração e ajuste de parâmetros do sistema são fornecidos. Ao mesmo tempo, combinado com o mecanismo de política de segurança controlável pelo administrador, obtém recursos de gerenciamento e controle de segurança mais abrangentes e resolve os problemas de segurança de dados e gerenciamento de dispositivos encontrados pelas organizações durante as operações de escritório móvel.