freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

【贈書】推薦一本App安全“紅寶書”
2020-06-17 20:48:31

我們接觸Android App安全測試最早還是在2014年初,當年移動互聯網產業快速發展,App井噴式爆發,絕大多數使用的是Android系統。那時大多數開發者沒有做好App的安全防護措施,面對移動互聯網黑灰產的攻擊,App基本上處于“裸奔”狀態。那些年,我們可以看到很多真實的App攻擊案例:

  • 針對某款無人機,攻擊者通過攻擊操作者終端的App,實現對無人機的遠程劫持,重現2014年熱門科幻電影《星際穿越》中的場景。
  • 針對特斯拉汽車,攻擊者通過攻擊車主終端的App,實現對汽車遠程開關門等惡意控制。
  • 針對日本最大馬桶公司Laxil生產的智能馬桶,攻擊者通過攻擊App,實現遠程控制,比如讓坐浴噴水超過1米高、激活各種功能,使用戶陷入窘境。
  • 針對某資產萬億銀行的App,攻擊者通過破解App程序發現后臺系統地址,發掘后臺系統漏洞,可將任意賬戶的資金轉走。

當時我們進行安全測試的金融類、網約車類App安全問題還是比較多的,并且做App安全加固的企業也不多,做移動端的App安全測試與PC端、Web端測試不同,移動端沒有相關的測試標準,也沒有相關資料參考,只能慢慢地摸索、積累。

當時,金融類App暴露出很多安全風險,一套安全測試流程下來,基本上都是不通過的項,例如:

  • 代碼層:代碼沒有混淆、沒有加固,App沒有簽名校驗機制,可以任意修改,然后二次打包,更沒有反調試。
  • 用戶交互層:弱口令、App沒有自帶的軟鍵盤、驗證碼簡單,用戶敏感界面也沒有防錄屏/防截屏的措施,界面劫持釣魚攻擊嚴重。
  • 數據存儲層:調試代碼未及時關閉,本地明文存儲,Cookie明文暴露。
  • 網絡通信層:客戶端與服務器交互協議不安全,數據明文數據傳輸。
  • 漏洞方面:SQL注入,中間人攻擊漏洞,組件攻擊漏洞等風險非常普遍。

經過幾年移動端App反復測試、修復,以上安全風險得到了很大的改觀,心細的朋友可能發現,比如:這幾年,在使用金融類App輸入密碼信息時,App都有了自帶的安全軟件盤讓用戶使用,不支持復制粘貼功能。同時,鍵盤按鍵也沒有像“按鍵陰影”這樣的效果。還有,就是當用戶正在使用App時,如果突然來了電話或者微信,切換應用時,App會彈出一個類似“程序已進入后臺運行”的提示,這些都是我們在安全測試后提出的修復意見,慢慢地這些都成為了基本的安全要求。

再后來,為App提供加固服務的企業越來越多,尤其在2015年,這一年似乎是“App安全加固元年”,各大企業都推出了自己的一套安全加固方案,比如:第一代、第二代、第三代、第四代,現在采用“VMP”虛擬機殼技術,還有就是各大企業舉辦的重大安全會議,都有關于“Android加殼脫殼”技術分享的議題,并且基本上都是會場爆滿的狀態,可以說是如火如荼??偟膩碚f,安全企業的加固方案分為兩種:一種是免費版,另一種是收費版(定制版)。按照用戶的需求功能定制收費,通常也是黑盒測試,各個企業都有自己的加固標準,加固好的App中會嵌入殼的代碼,App運行時殼的代碼優先執行,然后執行用戶自身App的代碼。對于用戶來說,其實并不非常清楚到底加殼做了什么。

由于目前市場上沒有公開、統一的安全測試標準,同時,安全企業又各有各的安全測試標準,這就導致Android開發者和測試人員沒有渠道可以全面了解安全測試的標準和規范。因此,我們決定把我們多年積累的安全測試經驗整理成冊,從而讓每個App開發者都可以做一個具有安全經驗的開發者,從源頭上避免最常見的安全風險點,讓愛好者一開始就有一個App安全測試的思維模型雛形。于是,這本書也就應運而生了。

最后,隨著5G網絡技術的快速發展,未來5G相關垂直行業的App會越來越多(比如:車聯網App,物聯網App,工業互聯網App、在線教育App、微信/支付寶小程序等),出現安全風險的可能性也就越來越高。因此,掌握App安全測試技術和防護技術是非常有必要的,建議Android開發者和安全測試人員都要好好掌握。

v2-ffcb62cce2bddf728d8431a358e309ad_720wv2-3e206b96e1982b42b752b0e25cc3f6ea_720wv2-00d40ccf4fbcc384478ca64c57f64f2c_720wv2-cb06bee52fe490905d25f2d91d210f7a_720w

v2-12897f73e20642f7a4ab4ebfaef335b6_720w

v2-5ba60d3a095737a0e3362ab1a4e850da_720wv2-c61a2084d6a730b7127d68391268887f_720w

本書由中國工信出版集團人民郵電出版社(2020年5月)出版,可到各大電商平臺(京東、天貓、當當等)購買,搜索書名《Android 應用安全測試與防護》即可。

粉絲福利

我們將對微信公眾號該篇文章留言點贊前八的粉絲各贈《Android 應用安全測試與防護》一本,獲贈名單將于下周五在公號公布。


企業安全建設,離不開“守望相助”。金融業企業安全建設微信群,入群方式:請加以下微信為好友,備注:姓名-公司-負責領域。銷售從業人員暫時不邀請入群,不保證每位申請者入群,敬請諒解。

掃一掃,加入企業安全建設實踐群

v2-0fe4397a7aad0c88a3b917bfd29f904c_720w

未能加入“企業安全建設實踐群”的朋友,可以加入知識星球,查閱每周實踐群討論話題和發言記錄。

知識星球:金融企業安全建設實踐

https://t.zsxq.com/EuFyjAm (二維碼自動識別)

附注:

  • 聶君,信息安全從業人員,十余年金融行業信息安全從業經歷,默默無聞。好讀書,不求甚解。性格開朗,愛好足球。
  • 本訂閱號文章是個人對工作生活的一些體驗和經歷分享,站在不同角度和立場解讀會有偏差,見仁見智,不求正確統一,但求真、善、美。



本文作者:, 轉載請注明來自FreeBuf.COM

# 移動安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网