Вход
Войти

Галерея диаграмм связей Анализ требований безопасности мобильных приложений и проектирование защиты безопасности

Анализ требований безопасности мобильных приложений и проектирование защиты безопасности

NetEase YiDun — профессиональный поставщик услуг по обеспечению безопасности мобильных приложений с высокой совместимостью, нулевыми потерями, высоким уровнем безопасности и бесплатной пробной версией. -Вторичная упаковка Ожидание универсального решения для усиления приложения.

Отредактировано в 2022-10-11 17:41:08

WSrx009v

Недавние работы Смотреть другие работы>>

Анализ требований безопасности мобильных приложений и проектирование защиты безопасности

WSrx009v

Недавние работы Смотреть другие работы>>

Рекомендовано вам
Структура

ЛВС и MAN
- 5
ArteVeloce
Общие команды для проникновения в интранет
- 1
WSrx009v
Сетевой инженер – Кибербезопасность
- 1
WSysQn6v
Примечания к исследованию CISSP-21 (атаки с использованием вредоносного кода и приложений)
- 3
WSrx009v
Примечания к исследованию CISSP-18 (План аварийного восстановления)
- 1
WSrx009v
CISSP AIO Информационная безопасность
- 1
WSrx009v

25. Анализ требований безопасности мобильных приложений и разработка средств защиты.

1. Анализ угроз и требований безопасности мобильных приложений

1. Состав системы мобильных приложений

2. Анализ безопасности мобильных приложений

Основные типы угроз безопасности мобильных приложений следующие.

(1) Угрозы безопасности платформам мобильных операционных систем.

(2) Атаки на беспроводные сети. Например, поддельные базовые станции, мошенничество с доменными именами, фишинг и другие виды атак.

(3) Реверс-инжиниринг кода мобильного приложения. Злоумышленники декомпилируют и анализируют двоичный код мобильных приложений, чтобы получить ключевые идеи алгоритма исходного кода мобильного приложения или украсть конфиденциальные данные.

(4) Незаконная модификация мобильных приложений. Незаконное вмешательство в работу мобильных приложений и хищение информации пользователей. Это также может представлять угрозу для сервера.

2. Механизм безопасности и защиты системы Android

1. Обзор состава системы Android

Android — это операционная система для мобильных терминалов с открытым исходным кодом. Ее системная структура разделена на уровень ядра Linux (Linux Kenel), уровень библиотеки времени выполнения системы (библиотеки и среда выполнения Android), уровень платформы приложений (Application Framenork) и уровень приложения (приложения).

Каждый уровень системы Android сталкивается с угрозами безопасности разной степени. Среди них основная угроза безопасности системы Android исходит от атак на ядро Linux. Распространенные формы включают переупаковку APK, атаки обновления и т. д. ---Например, внедрить трояна и затем упаковать его.

2. Механизм безопасности системы Android

（1） прикладной уровень

Уровень приложения: механизм объявления разрешений. Между разрешениями на операции и объектами устанавливаются некоторые ограничения. Только привязав разрешения к объектам, вы можете получить право на управление объектами. Разрешения на уровне приложения включают обычные разрешения, опасные разрешения, разрешения подписи и разрешения Signature0rSystem. Обычные разрешения не причинят существенного вреда пользователям; опасные разрешения могут представлять потенциальную угрозу для пользователей, например, разрешение на чтение информации о местоположении пользователя, чтение телефонных книг и т. д. означает, что только приложения с такой же подписью могут получить доступ к системным разрешениям; в основном используются поставщиками оборудования.

（2） уровень инфраструктуры приложения

Уровень инфраструктуры приложения: механизм подписи приложения. AВсе приложения, установленные в систему Android, должны иметь цифровой сертификат. Этот цифровой сертификат используется для идентификации доверительных отношений между автором приложения и самим приложением.

（3） Уровень работы системы

1||| Машина с отдельной песочницей.

2||| Используйте протокол SSL/TSL для шифрования передачи сетевых данных.

（4） Уровень ядра системы

Уровень ядра: безопасность файловой системы, рандомизация структуры адресного пространства, SELinux.

Уровень ядра системы Android использует механизмы управления разделами и разрешениями ACL Linux. Механизм управления разрешениями ACL Linux означает, что разрешения на управление доступом к каждому файлу совместно контролируются его владельцем, группой, к которой он принадлежит, а также выполнением чтения и записи. . Файлам присваиваются разные идентификаторы приложений при их создании. Другие приложения могут получить к ним доступ только в том случае, если они имеют тот же идентификатор приложения или настроены на глобальное чтение и запись. Каждое приложение имеет свой собственный идентификатор пользователя и собственный каталог файлов. Когда система работает, самый внешний уровень защиты обеспечивается Linux. Раздел, где находится system.img, доступен только для чтения, а раздел, где находится data.ing, доступен для чтения и записи и используется для хранения пользовательских данных. .

Аппаратная поддержка NX (NoeXecute) была добавлена после версии Android 2.3, которая не позволяет выполнять код в стеке. После Android 4.0 была добавлена функция «Рандомизация макета адресного пространства (ASLR)» для предотвращения атак, связанных с памятью.

3. Механизм безопасности и защиты системы IOS

1. Обзор компонентов системы IOS

Системная архитектура IOS разделена на четыре уровня: уровень базовой ОС, уровень основных служб, уровень мультимедиа и уровень Cocoa Touch.

(1) Сенсорный слой.

(2) Медиа-уровень. Предоставляет технологии для аудиовизуальных аспектов приложений.

(3) Уровень базовых служб, который предоставляет базовые системные услуги, необходимые приложениям, такие как учетные записи, хранилище данных, сетевые подключения, географическое местоположение, структура движения и т. д.

(4) Уровень ядра операционной системы. Обеспечьте локальную аутентификацию, безопасность, внешний доступ, системные и другие услуги.

2. Механизм безопасности системы IOS

Архитектуру безопасности платформы IOS можно разделить на аппаратное обеспечение, встроенное ПО и программное обеспечение.

Уровни аппаратного обеспечения и встроенного ПО состоят из ключей устройства, стали шифрования группы устройств, корневой сертификации Apple, механизма шифрования и ядра.

Программный уровень состоит из файловой системы, раздела операционной системы, пользовательского раздела, изолированной программной среды приложения и класса защиты данных.

Основываясь на этой общей архитектуре безопасности, Apple интегрировала различные механизмы безопасности для защиты платформы IOS. Основные механизмы безопасности следующие:

(1) Надежная загрузочная цепь. Безопасность платформы IOS зависит от безопасности цепочки запуска. Чтобы предотвратить атаку хакеров на процесс запуска, компоненты, используемые в процессе запуска IOS, требуют проверки целостности: обеспечения управляемости передачи доверия. Процесс запуска IOS: после включения устройства IOS его процессор приложений немедленно выполняет код в постоянной памяти (также называемой загрузочным ПЗУ). Этот неизменяемый код устанавливается при изготовлении чипа и является неявно доверенным кодом. Код загрузочного ПЗУ содержит открытый ключ корневого центра сертификации Apple, который используется для проверки того, что базовый загрузчик (LLB) подписан Apple. его загрузить. Путь загрузки разделяется на два пути выполнения после выхода из загрузочного ПЗУ: один — обычная загрузка; другой — режим обновления прошивки устройства, который используется для обновления образа iOS.

(2) Защита данных. API защиты данных предназначен для устранения риска утечки данных, вызванной потерей или кражей мобильных устройств. API позволяет разработчикам приложений максимально упростить адекватную защиту конфиденциальных пользовательских данных, хранящихся в файлах и элементах связки ключей.

(3) Механизм шифрования и защиты данных, все пользовательские данные в IOS принудительно шифруются (--- никаких пользовательских настроек не требуется). Механизмы шифрования и дешифрования AES от Apple являются аппаратными и расположены в DMA между хранилищем и системой. Все данные, поступающие в хранилище и извлекаемые из него, должны шифроваться и дешифроваться аппаратно, что обеспечивает более высокую эффективность и производительность. В дополнение к этому, IOS предоставляет метод защиты данных, называемый защитой данных файлов. Все файлы используют разные ключи при их шифровании. Эти ключи называются ключами профиля и хранятся в Netafile.

(4) Рандомизация макета адресного пространства. Используйте технологию ASLR, чтобы гарантировать случайное распределение местоположений двоичных файлов IOS, файлов библиотек, файлов динамической компоновки, адресов памяти поиска и кучи, тем самым повышая устойчивость к атакам.

(5) Подписание кода. Чтобы предотвратить атаки приложений, система iOS требует, чтобы все исполняемые программы были подписаны сертификатом, выданным Apple.

(6) Механизм песочницы. С помощью механизма песочницы вредоносное поведение процесса можно ограничить.

4. Механизмы защиты безопасности мобильных приложений и технические решения

1. Риски безопасности мобильных приложений

Мобильные приложения уязвимы для таких угроз безопасности, как декомпиляция, отладка, подделка и кража данных.

2. Усиление безопасности мобильных приложений

1||| Антидекомпиляция. Зашифруйте файлы мобильных приложений, чтобы злоумышленники не могли использовать инструменты статической декомпиляции. Обфускация кода мобильных приложений затрудняет чтение кода взломщиками. Распространенные методы путаницы включают путаницу в именах, путаницу в управлении, путаницу в расчетах и т. д.

2||| Анти-отладка. Приложение устанавливает функцию обнаружения отладки для запуска мер защиты от отладки, таких как очистка пользовательских данных, сообщение о состоянии устройства, на котором находится программа, запрет использования определенных функций или даже непосредственный выход из операции.

3||| Защита от несанкционированного доступа с помощью цифровой подписи и методов защиты с множественной проверкой проверяет целостность мобильных приложений и предотвращает переупаковку и пиратство APK-файлов мобильных приложений.

4||| Защита от кражи: шифруйте локальные файлы данных и сетевые соединения, связанные с мобильными приложениями, чтобы предотвратить кражу данных.

3. Обнаружение безопасности мобильных приложений

Общее содержание обнаружения безопасности сети мобильного приложения: обнаружение механизма аутентификации сеанса связи; обнаружение механизма защиты конфиденциальной информации: обнаружение механизма безопасности процесса транзакции; обнаружение механизма управления доступом к данным; обнаружение возможности взлома; обнаружение возможности внедрения SOL: обнаружение уязвимостей безопасности приложений;

«Основные характеристики технологий информационной безопасности для сбора личной информации с помощью мобильных интернет-приложений (приложений) (проект)». Среди них для разрешений, которые могут собирать личную информацию в Android 6.0 и выше, указан минимально необходимый диапазон разрешений для типов услуг. Конкретные требования: ① Навигация по карте: разрешения на определение местоположения, разрешения на хранение. ② Заказ поездок онлайн: разрешения на местоположение, разрешение на телефонные звонки; ④Форум блога: разрешение на хранение; ⑥Информация о новостях: нет; ⑧Короткое видео: разрешение на хранение; ⑩Экспресс-доставка: нет; : разрешение на размещение, разрешение на вызов; ⑫Транспортные билеты: разрешение на хранение; ⑭Найм работы: разрешение на хранение; ⑮Аренда и продажа дома: разрешение на хранение; ⑯Сделка с подержанным автомобилем: Разрешения на хранение; : разрешения на местоположение, разрешения датчиков; ⑱ Консультация и регистрация: разрешения на хранение; ⑳ Веб-браузер: нет; ⑳ Метод ввода: нет; ⑳ Управление безопасностью: разрешения на хранение, получение учетных записей приложений и получение разрешений на состояние телефона, разрешения по SMS.

5. Комплексный анализ ситуации с безопасностью мобильных приложений

1. Финансовая мобильная безопасность

Распространенные угрозы безопасности включают трояны, контролирующие мобильные телефоны пользователей, фишинговые приложения, собирающие информацию об учетных записях пользователей, а также кражу и перевод средств пользователей.

План защиты безопасности

1||| Внедрить управление разработкой безопасности мобильных приложений. Предоставляйте консультационные услуги по вопросам безопасности финансового бизнеса, чтобы помочь клиентам понять потенциальные риски безопасности и оптимизировать бизнес-структуру. При разработке приложения учитывайте вопросы безопасности приложения. Проведите обучение программированию мобильной безопасности, чтобы повысить осведомленность о безопасности. Приложение добавляет функции защиты и предоставляет SDK и компоненты безопасности, такие как безопасная программная клавиатура, защита от движения интерфейса, защита по SMS и очистка объекта. Проводите проверки безопасности и проверки рисков в исходном коде мобильных приложений, чтобы уменьшить уязвимости безопасности в коде приложения и заранее обнаружить риски безопасности финансового бизнеса.

2||| Содержимое сети мобильного приложения надежно зашифровано и защищено, а протокол связи мобильного приложения Aoo зашифрован и защищен.

3||| Усиление безопасности мобильных приложений. Выполните усиление безопасности в приложении, например шифрование dex, обфускацию процессов smali, шифрование файлов, шифрование ключевых функций, а также добавьте функции защиты от отладки и декомпиляции.

4||| Оценка безопасности Mobile AOP. Предоставляйте услуги по тестированию на проникновение для мобильных приложений, чтобы обнаружить уязвимости безопасности в мобильных приложениях и избежать угроз безопасности. Мониторинг безопасности мобильных приложений.

5||| Мониторинг и реагирование на фишинг: отслеживайте поддельные и фишинговые приложения и реагируйте на них, а также быстро связывайтесь с каналами для удаления поддельных и фишинговых приложений во избежание угроз безопасности.

6||| Мониторинг и реагирование на уязвимости приложений, отслеживайте новые и возникающие уязвимости в мобильных устройствах, мобильных приложениях, серверах и т. д., а также своевременно избегайте рисков уязвимостей. Мониторинг и реагирование на пиратство, отслеживание пиратских приложений, появляющихся в каналах распространения приложений, и удаление пиратских приложений в любое время.

7||| Ситуационная осведомленность о мобильных угрозах.

2. Оператор мобильной безопасности

угрозы безопасности

1||| Секретный захват учетной записи и пароля.

2||| Эксплойт.

3||| Вредоносный код.

4||| Злонамеренная подделка заказов и заказов, подделка большого количества ложных личных данных/кража реальных личных данных пользователей для автоматической подмывки заказов и заказов в больших количествах.

5||| Атака отказа в обслуживании.

6||| Взлом Billing SDK посредством декомпиляции, взлома и других средств защищает и взламывает SDK для биллинга мобильных приложений оператора.

7||| Фишинговые атаки. Поддельные подлинные фишинговые мобильные приложения и т. д.

8||| Мошенничество с библиотеками социальной инженерии включает сбор информации о пользователях с помощью пиратских приложений и приложений с высоким уровнем имитации, а также других просочившихся библиотек социальной инженерии с целью обмана пользователей.

План защиты безопасности

1||| Улучшите приложения операторов и все сторонние приложения, продвигаемые через рынок приложений операторов.

2||| Предоставляет услуги по обнаружению вирусов, троянов и вредоносного кода для сторонних АОП, представленных на рынке приложений оператора.

3||| Предоставляет услуги усиленной защиты на основе защиты от корректировки, модификации и взлома для SDK оператора по выставлению счетов.

4||| Шифруйте протоколы связи и сертификаты оператора.

5||| Предоставляет услуги по информированию об угрозах на основе мобильных приложений, предупреждая в режиме реального времени об аномальном трафике, атаках вторжений, рискованных приложениях и т. д., подключенных к сети.

3. Безопасность мобильного офиса

Мобильный офис в основном сталкивается со следующими рисками:

1||| Устройство отсутствует.

2||| Утечка информации.

3||| атаковать намеренно. Внедряйте вредоносные программы для проведения атак на серверы организации.

4||| Общий доступ. Сотрудники делятся устройствами, паролями учетных записей и разглашают конфиденциальную информацию организации.

5||| Мониторинг Wi-Fi, доступ к фишинговым точкам доступа, данные связи перехватываются и отслеживаются.

В ответ на проблемы безопасности мобильных офисов поставщики систем безопасности предложили технические решения, такие как безопасный доступ к мобильным устройствам, управление безопасностью мобильных устройств, предотвращение вредоносного кода для мобильных устройств и усиление безопасности мобильных приложений.

Решение системы управления безопасностью мобильных терминалов 360

Система управления безопасностью мобильных терминалов 360 Tianji состоит из двух частей: платформы управления безопасностью и мобильного клиента. С помощью платформы управления осуществляется безопасное управление терминалами, оснащенными мобильными клиентами, а также предоставляются такие услуги, как управление периферийными устройствами терминала, передача конфигурации и настройка параметров системы. В то же время, в сочетании с механизмом политики безопасности, управляемым администратором, он обеспечивает более комплексные функции управления и контроля безопасности и решает проблемы безопасности данных и управления устройствами, с которыми сталкиваются организации во время работы в мобильных офисах.