悬镜CEO张涛浅谈《APP风险评估探索实践》

释放双眼,带上耳机,听听看~!
 ·导语·2017年8月23日-24日以“数据时代,安全护航”为主题的“2017年第四届网络安全(中国)论坛”活动在上海成功举办。北京安普诺公司创始人兼CEO张涛先生,应邀在论坛“企业级信息安全防护”上做了主题为《安卓App风险评估探索实践》精彩分享。以下是小编根据张涛先生演讲的内容进
 

· 导语 ·

2017823-24日以“数据时代,安全护航”为主题的“2017年第四届网络安全(中国)论坛活动在上海成功举办。北京安普诺公司创始人兼CEO张涛先生,应邀在论坛“企业级信息安全防护”上做了主题为《安卓App风险评估探索实践》精彩分享。以下是小编根据张涛先生演讲的内容进行编译报道。

 

 

数据统计显示,65%的移动APP至少存在1个高危漏洞,平均一个APP就有7.32个漏洞。其中88%的金融类APP存在内存数据敏感泄露问题,每10个娱乐类APP就有9个至少包含一个高危漏洞;96%移动APP至少有1个低危漏洞;88%移动APP至少有1个中危漏洞;65%移动APP至少有一个高危漏洞。

app.png


APP业务系统主要面临哪些安全威胁?又如何以最低成本解决当下APP业务系统面临各种安全风险?


一、安卓APP产品面临的风险?

企业级APP产品面临的安全风险主要包括以下四个方面:

安卓产品风险.jpg图片截图来源张涛先生演讲PPT

01.APP应用安全

各类高危应用漏洞是APP本身存在的主要安全风险,其中漏洞类型主要集中在“拒绝服务”、“Webview明文存储密码”、“密钥硬编码风险”及“AES/DES弱加密风险”中,“密钥硬编码风险”和“AES/DES弱加密风险” 漏洞会让基于密码学的信息安全基础瓦解。


因为常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;


对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。


此外,病毒木马威胁也是制约APP业务安全运行的关键因素。2016年度,Android平台约10台设备中就有1台染毒,设备感染率达10%,移动病毒利用多种手法如重打包知名应用、伪装成生活类、色情类应用等传播,在每天新增如此多病毒的恶意环境下,Android用户必须时刻警惕在官方场合下载应用。


除了隐藏恶意代码,伪装成合法的应用程序进行广告推送等常用恶意软件使用的技巧,攻击者使用更复杂的技术,针对用户进行诈骗,敲诈等行为,获取利益最大化。

 

02.APP源码安全

主要对应的是覆盖“OWASP top 10 mobilesecurity risk”的逆向工程风险,APK文件被反编译后较为容易就可获取源码,暴露程序的逻辑及关键算法,破坏程序完整性、机密性,达到盗版应用、破解认证等目的。


比如反编译源码后去山寨应用,一个触目惊心的数据是:依据不同行业,社交类APP被仿冒最严重,仿冒最严重的APP月下载量超20万次。【数据统计来源FreeBuf】;破解算法逻辑伪造客户端刷单。


可见一旦攻击者获取APP源码,将会给企业带来多大的损失。

 

03.APP数据安全

Android提供的默认存储方式,传输方式不够安全,容易被窃取、劫持。主要是存储在APP系统中本身的漏洞;比如一些应用提供记住密码功能,将密码数据存储在本地,获取Root权限的应用可以任意读取这些数据。数据传输过程用Http实现的应用,传输内容都是明文,订单信息、电话号码这类数据很容易泄露。

 

04.服务端安全:

根据悬镜安全实验室的理解,主要包括服务器端接口安全和服务器端边界安全。


其中服务器端接口安全主要是指移动APP应用与服务器后台通讯交互时,接口存在的业务逻辑安全,攻击者可以通过客户端快速发现服务端接口地址及调用逻辑;


服务器边界安全主要是指APP服务器上的典型网络服务应用、中间件漏洞和弱口令风险等边界安全。 比如利用接口逻辑漏洞刷单、刷点击量、0元购买等。


二、企业移动安全业务痛点

看不清:由于安卓手机厂商各异,低版本系统、可Root机型众多,应用的运行环境难以得到保障,并且有些企业业务复杂,资产和薄弱点都不清楚,风险状况如何才能做到清晰可衡量呢?

 

买不起:一个中小开发者,一台漏洞扫描设备20万起,一个运维人员每年年薪15万起,对于中小型企业来说,活起来是当下最重要的事情,安全变得遥不可及也是可以理解的。

 

防不住:买了一堆防火墙、IPS,投入很多时间进行配置更新,为什么渗透攻击总是能成功?

 

难落地:安全部署工作又笨重且繁琐,运维和开发不全力配合,如何才能把安全有效落地?

涛哥1.jpg

 涛先生现场演讲照片

三、如何解决移动业务安全面临的问题

针对当前大多数企业在信息安全体系建设上面临上述困境,悬镜安全实验室根据这些年在移动APP业务安全上的积累,做了一些有意义的探索实践。

 

01

01.检测维度


技术上,主要从APP应用安全检测和APP服务端安全检测两个维度进行检测。APP应用安全检测主要包括漏洞的检测、APP仿冒的检测、敏感信息泄露的检测;APP服务端安全检测主要从基础服务安全和业务安全两个方面来进行检测。

 

 APP应用安全检测:利用自动化检测工具,结合静态和动态结合检测方式对APP进行安全检查。

应用安全.jpg

图片截图来源张涛先生演讲PPT


APP服务端安全主要是从服务端边界安全和服务端接口安全两个方面进行检测的;

服务器端.jpg

图片截图来源张涛先生演讲PPT


服务端边界安全主要包括:

边界安全.png

图片截图来源张涛先生演讲PPT


服务端接口安全:接口安全和Web接口有很多相似之处,有时候是通用的。通过客户端可以快速发现服务端接口地址及调用逻辑。

 

服务端接口安全主要包括两方面,一是通用安全问题,另一方面是业务逻辑安全。

接口安全.png

图片截图来源张涛先生演讲PPT


业务逻辑安全与业务联系非常紧密,不同的APP Server早代码实现中有所差别,但是主要安全点还是逃不开以上内容。

02

02.检测方法

目前APP检测形式主要分为两类:一类是自动化分析平台,是目前比较主流在线的漏洞检测平台;另一类是近年来兴起的手动评估,通过逆向工程+渗透测试的方式对APP进行全面的风险评估。

 

自动化的分析平台,例如:Mobsf、Drozer、Androidguard等开源检测工具,这些工具不同程度上支持静态检测和动态分析,以及App后端Web API漏洞等检测。但是这些工具只能检测一些最基本的安全问题,检测力度远远无法达到用户要求,并且边界的安全检测及业务逻辑安全问题,目前这些工具是涉及不到的。

 

人工检测与自动化检测两者谁更胜一筹?这或许并没有很好地答案,自动化工具或许更快捷、简便,但是通过手动的人工分析能够发现自动化检测中无法发现的漏洞,并且在检测过程中擅长业务逻辑漏洞检测和利用。 因为是人工进行检测,人的经验、创造力、好奇心也是辗压自动化攻击的。同时接口覆盖也会更加的全面,部分接口漏洞无法通过自动化工具来发现。

03

03.悬镜一站式解决方案


如何更好的实现对移动业务的安全防护呢?

 

悬镜提供的一站式解决方案,帮助客户解决因安全问题带来的业务损失。悬镜从创立之初,就以+一站式服务器防黑加固为出发点,致力于为大型国企、金融、商超、高校、开发服务商、云主机服务商等各类企业打造可信的业务安全闭环生态。

一站式.jpg

图片截图来源张涛先生演讲PPT


APP在研发阶段,产品研发人员主要考虑的是产品功能、性能指标的快速实现,业务安全评估建设基本不会出现在研发目标清单上。APP上线之后,遇到各类安全问题,如

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

验证码的传奇人生

2017-8-25 6:01:14

HackerNews

看好你的钱包|2017年加密数字货币安全事件

2017-8-26 11:01:05

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索