从大型机到智能手表,我们为每个现有的计算平台开发了应用程序。仅APP程序的总数就达到了惊人的893万。随着对APP程序的日益依赖,数字安全和隐私变得至关重要。
然而,最近的统计数据在APP程序安全方面描绘了一幅相当令人沮丧的画面。根据一家安全审计公司收集的数据,在iOS和Android应用程序中分别发现了38%和43%的高危漏洞。这些安全漏洞可能导致巨大的相关成本——移动数据泄露给企业造成的经济负担可能高达2640万美元。
APP程序安全性远远落后,但安全开发实践与全面的APP程序测试相结合,可以帮助弥合这一差距。以下是改善整体移动安全卫生和防止违规的六个步骤。
稳健的多因素身份验证 (MFA) 的重要性怎么强调都不为过。简而言之,MFA 要求用户在获得对系统的访问权限之前提供多个证据或因素。这些因素包括知识(密码和 PIN)、拥有(物理设备和令牌)和固有(独特的特征)。
由于密码很容易被泄露,将生物识别技术作为 MFA 的一部分用于您的APP程序可以加强您的安全游戏。生物识别技术突飞猛进,如今不乏移动生物识别解决方案——指纹和指静脉识别、语音和面部识别、击键动态、行为分析。
一些移动开发人员依赖设备原生生物识别技术,而其他开发人员则选择包括基于应用程序内生物识别技术的身份验证来自定义应用程序的安全功能——无论哪种方式,将生物识别技术纳入 MFA 都可以解决安全问题并让用户安心。
著名的Open Web Application Security Project准备了移动应用程序面临的OWASP Mobile Top 10风险,将不安全的数据存储排在第二位。事实上,根据前面提到的研究,76% 的受检APP程序都存在数据存储漏洞,可能会危及用户的隐私和安全。
APP程序收集和存储敏感的用户信息,例如个人信息 (PII)、地理位置数据、凭据、信用卡信息等。对手可以通过访问被盗设备或通过安装在越狱手机上的恶意软件(即可以不受限制地访问移动操作系统的修改手机)来访问这些不安全的数据。
虽然保护敏感数据的基本规则是除非绝对必要,否则不要将其存储在手机上,但APP程序还必须对静态数据进行加密。最常见的方法是使用 256 位密钥的 AES 加密,这有助于保护最终用户的机密数据。
APP程序安全的另一个威胁是逆向工程,可用于反编译应用程序并获得对源代码的访问权限。一旦提取,代码就容易受到恶意攻击者的攻击,他们可以利用它来修改应用程序功能、破坏后端系统、泄露敏感信息等等。
代码混淆,顾名思义,就是故意对源代码进行模糊处理,使人类难以阅读和理解,使黑客几乎无用。因此,开发人员需要确保混淆级别不会被IDA Pro和 Hopper等反混淆工具轻易逆转。
第三方软件库是工程师用来降低开发成本并显着加快上市时间的外部组件。虽然这些开源库可能占现代APP程序的90%,但它们会带来重大的安全风险。非内部编写的代码可能包含错误和漏洞,代表潜在的攻击媒介。
管理第三方库对于保持应用程序安全至关重要。为此,开发人员需要维护第三方软件组件的全面清单、跟踪更新并管理依赖项。此外,还有许多工具可以帮助开发人员检查开源库和框架的安全风险。
最后但同样重要的是,如果没有强大的移动安全测试,就不可能有全面的安全方法。端到端测试有助于在潜在风险和漏洞损害最终用户的隐私和安全之前识别它们。
除了安全测试的两大支柱渗透测试和漏洞评估,工程师还可以进行静态和动态代码分析、数据加密测试、恶意软件分析等。自动化移动安全测试活动有助于显着提高效率并增加测试覆盖率,从而更快地交付安全的APP程序。
为了吸引移动用户的注意力,公司通常会提供功能丰富但安全性差的应用程序。但APP程序安全永远不能是事后的想法。为确保移动解决方案的一流质量,需要一种全面的安全方法,其中包括多重身份验证、数据加密、代码混淆、第三方库管理等措施。
从大型机到智能手表,我们为每个现有的计算平台开发了应用程序。仅APP程序的总数就达到了惊人的893万。随着对APP程序的日益依赖,数字安全和隐私变得至关重要。根据一家安全审计公司收集的数据,在iOS和Android应用程序中分别发现了 38% 和 43%的高危漏洞。APP程序安全性远远落后。以下是改善整体移动安全卫生和防止违规的五个步骤:1、多因素认证。2、安全的数据存储。3、代码混淆。4、第三方库管理。5、自动化安全测试。
