随着移动应用使用量的激增,被攻击的风险也越来越大。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”。大多数企业主认为移动应用程序不容易受到网络攻击。但是,对于移动APP黑客来说,已经总结出方便有效的攻击方法和工具脚本,保护移动应用程序成为当务之急。根据大数据信息机构HPE(惠普企业)的一项研究,对来自600多家公司的2000多个移动应用程序进行了测试,结果如下:35%的应用程序通过HTTP发送用户名和密码,并且18%通过SSL/HTTPS协议对用户名和密码进行加密传输。75%的应用程序不使用加密文本在移动设备上存储数据。71%的应用没有使用安全加固产品。APP安全威胁分类在讨论如何保护移动应用免受攻击之前,让我们先简要概述一下常见的APP安全威胁。1、来自PC端的威胁许多应用程序允许用户从PC端下载并上传到移动设备,这就造成了跨设备威胁。2、安卓手机应用在线平台存在风险。移动应用开发平台审核审核参差不齐,多达90%的移动应用存在漏洞。在iOS设备方面,苹果可以做比较严格的安全访问审计。相比之下,安卓设备由于设备类型、应用商店安全标准不一致、需要覆盖的安卓版本过多、开源特性等原因,往往存在更多的安全风险。3、来自物联网设备的风险在万物互联的时代,物联网的主要目的是收集用户数据,并利用这些数据提供更好的用户体验。物联网设备往往通过安卓应用程序进行控制和操作,甚至一些物联网设备本来就是安卓操作系统。Android应用程序安全漏洞给设备带来难以管理的安全风险。4.移动病毒移动设备很容易受到恶意软件、木马、病毒和间谍软件的攻击,从而使黑客窃取数据。5.未经授权的访问破解移动应用程序,允许未经授权的用户访问您的社交媒体网络、电子邮件帐户和应用程序。6、黑客利用Android手机的开源特性分析手机APP,利用修改软件修改系统信息伪造自己的身份。以此来欺骗APP的身份认证等环节,达到薅羊毛的目的。如何保护您的移动应用程序既然我们已经了解了上述移动应用程序面临的威胁,那么让我们简要了解一下应对措施。1.移动应用开发阶段的静态和动态保护,保证使用安全的编译脚本和编译选项,混淆代码使黑客无法获取核心逻辑,保证使用安全的第三方库,进行安全审计在每一行代码上。黑客通常通过审计反向伪代码来发现漏洞和控制、访问你的应用程序、获取手机或应用程序的敏感个人信息等。此外,还需要防止应用程序被动态调试和分析,并添加反调试机制。定期对APP进行模糊测试,确保其对外接口不被入侵。找有实力的第三方安全测试公司进行测试也是不错的选择。2、增加身份认证算法接口的身份认证授权强度,增加应用登录的安全性。确保APP界面只提供对APP重要功能的访问。认证部分全部转移到在线计算,算法逻辑和密钥证书内容不应出现在本地。为增加身份认证系数,可以将手机的基本信息作为证书生成的重要因素。3.保证web/后台安全要实现APP安全,请首先保证服务器安全,防止未经授权的访问,保护机密数据。服务器端的所有接口都应该进行模糊测试。可以使用容器化后端部署来保护数据和文档。此外,还需要认证机构进行渗透测试,测试结果应符合网络安全标准。通信方式需要使用TLS、VPN和SSL进行加密,以防止第三方中间人攻击。4.安全支付无论您是在线提供收费服务还是在线销售某些产品,您都必须有一个安全的支付网关。支付系统与客户之间的敏感通信需要进行多因素令牌化、加密等。5.威胁情报平台随着移动设备的增加,威胁类别正在迅速演变,我们不可能阻止任何威胁。但是,您可以开放您的网络安全事件响应平台来帮助应对移动威胁。此外,APP厂商应告知用户,APP应用厂商会在其设备上安装额外的移动安全SDK探针。收集手机基本信息和未知事件,并上报给您的威胁情报平台。此外,如果您的应用程序存在任何安全漏洞,SDK探针还可以通知您。总结企业高层对当前高速增长的APP安全问题非常重视。企业内部安全负责人应从基础做起,关注APP在开发阶段产生的隐患,并按照本文的建议,采取一切必要措施保护您的应用免受攻击。互联网、恶意软件、病毒和间谍软件攻击。选择好的三方渗透服务,发现未知问题,增强安全团队的应急能力。
