导语
随着互联网移动应用爆发式增长,安全性已经成为信息化时代的热门话题。常见的移动应用恶意行为有哪些?如何规避移动应用安全漏洞?如何打造安全可靠的高质量移动应用?华为安全专家毛哲文将在本文为大家详细解读。
根据猎豹移动和安天移动安全联合发布的2017年移动安全报告显示, 2017全年病毒量接近2000万。随着Android应用总数的上升,恶意应用和漏洞的数量还在飞速递增。
应用中的恶意行为包括恶意扣费、山寨应用、静默下载等等,其中恶意扣费的占比高达30%!
image
数据来源:http://www.owasp.org.cn/owasp-project/secapplab
针对这一情况,移动应用开发者应该有什么样的考虑和应对办法呢?
Android安全栈
移动安全应该从底层到上层以及可能需要交互的云端服务器各个维度进行考虑。以手机为例,主要包含基础设施层、硬件层、操作系统和应用层的安全考虑。
image
手机虽小,但承载了若干通信协议,以及各种天线和各种类似PC上的通信接口,基础设施的安全问题显得尤为重要;硬件层主要包括手机设备及手机固件等;操作系统层包括文件系统、进程管理、内存管理、设备管理、时间管理及网络管理等等,设备本身的复杂性就可能会带来不同的安全问题;应用层方面,有虚拟机、各种libraries、so文件、dex、apk等。
在应用开发中,由于手机的应用大多跟后台服务器和云端有交互,因此开发者需要有安全意识,规避风险。
移动应用安全威胁模型
移动应用安全威胁模型(STRIDE)从6个维度对应用在开发设计阶段进行了安全威胁分析,包括仿冒、篡改、抵赖、信息泄露、拒绝服务和权限提升等。
image
移动应用的攻击路径、攻击方式和普通应用方法不太相同,需要从不同的维度进行关注。例如,不正确的会话处理、弱身份认证、弱权限控制、恶意的二维码等都可能造成移动应用仿冒安全威胁的发生,移动开发者在应用的开发过程中可利用以上模型识别可能发生的安全威胁。
华为为移动安全开发保驾护航
华为通过终端工具链对外提供统一Android应用云平台,旨在满足手机终端、华为应用市场、产业联盟以及公司各Android应用相关产品线团队对于移动应用安全方面的需求。
主要提供包括病毒,漏洞、隐私泄露、广告监测四种安全监测分析能力。
病毒分析能力
- 强大的移动杀毒引擎(后台支持动态更新杀毒引擎)
- 实现Android平台病毒扫描自动化以及零日病毒的扫描预警、、
Android代码的变形,无法被常用的静态扫描检测到。
image
漏洞分析能力
- 静态漏洞分析
- 动态漏洞分析
image
常见漏洞分析——
image
隐私泄露分析能力
- 静态分析,主要是基于对APK bytecode逆向分析和对APP生命周期建模后构建控制流图、数据流图,并结合Android污染源和泄露点定义,查找出从污染源到泄露点的隐私路径
- 动态分析,主要通过敏感词扫描工具完成
image
广告分析能力
支持静态和动态的广告分析检测,可检测的广告类型包括内嵌、弹窗、通知栏、积分墙和悬浮窗。
image
应用案例——
image
华为生态开放平台(DevEco)
平台简介
华为终端开放实验室DevEco平台是为安卓应用开发者打造的开发和云测试工具平台,提供最佳的移动应用DevOps解决方案。
测试功能介绍
- 兼容性测试
- 稳定性测试
- 性能测试
- 功耗测试
- 安全测试
目前DevEco平台的测试有云测试、功能测试、云调试。云测试方面包括兼容性测试、稳定性测试、功能性测试、功耗测试和安全测试等。
为满足开发者对移动应用的安全需求,华为安全团队不仅在APK漏洞分析、病毒分析、恶意行为、隐私泄露分析、广告分析等方面,提供了深度安全分析能力以及相关的安全解决方案,华为DevEco平台同时为合作伙伴和应用开发者提供快速便捷、高质量的安全扫描测试工具,提升移动应用的安全防护能力水平。
华为DevEco平台还将陆续开放更多功能,相关信息可访问华为终端开放实验室,官网地址:https://deveco.huawei.com
image
image
安卓绿色联盟会根据每期技术沙龙议题输出精彩技术干货文章,分享讲师PPT,为未能现场参加技术沙龙的您提供另一个干货学习机会。
关注我们,最新技术沙龙招募、精彩技术干货分享、与专家讲师更多互动等你参与!!!
话题招募
什么样的议题会吸引您来参加技术沙龙?
什么样的技术干货才是您最想了解学习的?
留言告诉我们,神秘礼品等你来拿!
网友评论