首页> 安全资讯 > OWASP移动安全测试指南解读

OWASP移动安全测试指南解读

发布时间:2017-10-19

OWASP-MSTG是iOS和安卓设备移动安全测试项目的延伸,其宗旨在于帮助任何人了解关于移动安全测试方面的知识。

随着移动互联网的蓬勃发展,如今,移动APP正在重塑我们的日常生活;购物、出行、教育、医疗等广泛生活服务领域在商业模式转型升级的同时,也革新着人们过往的生活习惯。

移动网络环境的不断完善以及智能手机的高度普及,APP向用户各类生活需求场景深入渗透,可以说我们已经离不开各类APP给我们生活带来的便利。

然而新技术随之带来的是新的安全隐患,移动计算场景也不例外。

移动应用程序的安全问题与传统的桌面软件有所不同——现代移动操作系统比传统的桌面操作系统更安全,但是如果移动应用开发的过程中没有认真考虑安全性时,仍然可能出现问题。

数据存储、应用间通信、密码接口的正确使用以及安全网络通信只是其中一小部分。

几乎每个移动应用程序都会涉及到后端服务,而这些服务容易出现与台式机上的WEB应用程序相同的攻击类型。

移动应用程序的特点在于攻击面较小,因此针对注入和类似攻击的威胁性会更小。

相反,我们必须优先考虑设备和网络上的数据保护,以提高移动安全性。

那么移动应用的高发漏洞有哪些呢?

根据OWSP的统计,移动应用高发漏洞主要有以下10类:

 

 

其中敏感信息的泄露对个人造成的损失尤为严重。近几年,由于个人信息泄露导致的欺诈行为层出不穷。

从3月份的美国52GB个人身份信息泄露,到黑客组织影子经纪人解密美国国家安全局黑客工具,再到利用“NSA武器库”中漏洞的“WannaCry”蠕虫勒索软件席卷全球,这些安全事件都证明了,病毒正在严重威胁着个人信息安全。

据了解,最近有43人利用系统漏洞非法牟利近200万元而被美团告上法庭,“系统漏洞”再次成为人们瞩目的焦点。

此外,安卓端病毒持续高发成为数量之“最”,植入恶意广告病毒成为最赚钱的病毒种类,窃隐私于无形的间谍病毒成为最可怕的病毒,伪装王者荣耀的勒索病毒使该游戏莫名躺枪。

同时iOS端安全形势也不容乐观,近期以色列移动安全公司Zimperium近日公布了8个苹果iOS安全漏洞,令苹果建立的安全神话进一步破碎,Zimperium表示,利用这些漏洞攻击者可以完全控制iOS设备,从而获得该设备的GPS数据、照片和联系方式等用户信息或进行DDoS攻击。

如何保障移动应用安全,关键领域的保护则是重中之重:

1. 本地数据存储

敏感数据(如用户凭据和私人信息)的保护对于移动安全性至关重要。如果应用程序使用操作系统机制(例如进程间通信)不规范,该应用程序可能会将敏感数据暴露给在同一设备上运行的其他应用程序。它也可能无意中将数据泄漏到云存储,备份或键盘缓存。此外,与其他类型的设备相比,移动设备可能更容易丢失或被盗,因此个人更有可能获得对敏感数据的物理访问。

2. 与可信端点通信

移动设备连接到各种网络,包括与其他(潜在恶意)客户端共享的公共WiFi网络。这为各种基于网络的攻击创造了机会,手段从简单到复杂,从旧到新。保持移动应用和服务器之间交换的信息的机密性和完整性至关重要。作为基本要求,移动应用程序必须适当使用TLS协议设置安全的加密通道进行网络通信。

3. 认证和授权

在大多数情况下,发送用户登录数据到服务器是整个移动应用程序架构的组成部分。即使大多数身份验证和授权逻辑都发生在服务端,但在移动应用程序方面也存在一些安全风险。与WEB应用程序不同,移动应用程序通常会存储用户身份信息(如指纹数据、账号密码),虽然能登录更快和获得更好的用户体验(没有人喜欢输入复杂的密码),但它也带来了更多的风险。

4. 与移动平台的交互

移动操作系统架构与传统的桌面架构在很多方面有所不同。例如,所有的移动操作系统都实现了应用程序许可系统,以管理对特定接口的访问。他们还提供更多进程间通信的(IPC)功能,使应用程序间能够交换信号和数据。这些特定于平台的功能带有自己的缺陷。例如,如果进程间通信的接口被滥用,敏感数据或功能可能会无意中暴露给在设备上运行的其他应用程序。

5. 代码质量

由于攻击面较小,传统的注入和内存管理问题在移动应用中并不常见。对于浏览器漏洞,例如跨站点脚本攻击漏洞(XSS允许攻击者将脚本程序注入网页以绕过访问控制),这些漏洞在Web应用程序中非常常见但在移动应用中却较为少见。但是总是有例外,在某些情况下,XSS在移动设备上是理论可行的。

 

 


加入收藏