【赠书】推荐一本App安全“红宝书” – 作者:kelvin2294

我们接触Android App安全测试最早还是在2014年初,当年移动互联网产业快速发展,App井喷式爆发,绝大多数使用的是Android系统。那时大多数开发者没有做好App的安全防护措施,面对移动互联网黑灰产的攻击,App基本上处于“裸奔”状态。那些年,我们可以看到很多真实的App攻击案例:

  • 针对某款无人机,攻击者通过攻击操作者终端的App,实现对无人机的远程劫持,重现2014年热门科幻电影《星际穿越》中的场景。
  • 针对特斯拉汽车,攻击者通过攻击车主终端的App,实现对汽车远程开关门等恶意控制。
  • 针对日本最大马桶公司Laxil生产的智能马桶,攻击者通过攻击App,实现远程控制,比如让坐浴喷水超过1米高、激活各种功能,使用户陷入窘境。
  • 针对某资产万亿银行的App,攻击者通过破解App程序发现后台系统地址,发掘后台系统漏洞,可将任意账户的资金转走。

当时我们进行安全测试的金融类、网约车类App安全问题还是比较多的,并且做App安全加固的企业也不多,做移动端的App安全测试与PC端、Web端测试不同,移动端没有相关的测试标准,也没有相关资料参考,只能慢慢地摸索、积累。

当时,金融类App暴露出很多安全风险,一套安全测试流程下来,基本上都是不通过的项,例如:

  • 代码层:代码没有混淆、没有加固,App没有签名校验机制,可以任意修改,然后二次打包,更没有反调试。
  • 用户交互层:弱口令、App没有自带的软键盘、验证码简单,用户敏感界面也没有防录屏/防截屏的措施,界面劫持钓鱼攻击严重。
  • 数据存储层:调试代码未及时关闭,本地明文存储,Cookie明文暴露。
  • 网络通信层:客户端与服务器交互协议不安全,数据明文数据传输。
  • 漏洞方面:SQL注入,中间人攻击漏洞,组件攻击漏洞等风险非常普遍。

经过几年移动端App反复测试、修复,以上安全风险得到了很大的改观,心细的朋友可能发现,比如:这几年,在使用金融类App输入密码信息时,App都有了自带的安全软件盘让用户使用,不支持复制粘贴功能。同时,键盘按键也没有像“按键阴影”这样的效果。还有,就是当用户正在使用App时,如果突然来了电话或者微信,切换应用时,App会弹出一个类似“程序已进入后台运行”的提示,这些都是我们在安全测试后提出的修复意见,慢慢地这些都成为了基本的安全要求。

再后来,为App提供加固服务的企业越来越多,尤其在2015年,这一年似乎是“App安全加固元年”,各大企业都推出了自己的一套安全加固方案,比如:第一代、第二代、第三代、第四代,现在采用“VMP”虚拟机壳技术,还有就是各大企业举办的重大安全会议,都有关于“Android加壳脱壳”技术分享的议题,并且基本上都是会场爆满的状态,可以说是如火如荼。总的来说,安全企业的加固方案分为两种:一种是免费版,另一种是收费版(定制版)。按照用户的需求功能定制收费,通常也是黑盒测试,各个企业都有自己的加固标准,加固好的App中会嵌入壳的代码,App运行时壳的代码优先执行,然后执行用户自身App的代码。对于用户来说,其实并不非常清楚到底加壳做了什么。

由于目前市场上没有公开、统一的安全测试标准,同时,安全企业又各有各的安全测试标准,这就导致Android开发者和测试人员没有渠道可以全面了解安全测试的标准和规范。因此,我们决定把我们多年积累的安全测试经验整理成册,从而让每个App开发者都可以做一个具有安全经验的开发者,从源头上避免最常见的安全风险点,让爱好者一开始就有一个App安全测试的思维模型雏形。于是,这本书也就应运而生了。

最后,随着5G网络技术的快速发展,未来5G相关垂直行业的App会越来越多(比如:车联网App,物联网App,工业互联网App、在线教育App、微信/支付宝小程序等),出现安全风险的可能性也就越来越高。因此,掌握App安全测试技术和防护技术是非常有必要的,建议Android开发者和安全测试人员都要好好掌握。

v2-ffcb62cce2bddf728d8431a358e309ad_720wv2-3e206b96e1982b42b752b0e25cc3f6ea_720wv2-00d40ccf4fbcc384478ca64c57f64f2c_720wv2-cb06bee52fe490905d25f2d91d210f7a_720w

v2-12897f73e20642f7a4ab4ebfaef335b6_720w

v2-5ba60d3a095737a0e3362ab1a4e850da_720wv2-c61a2084d6a730b7127d68391268887f_720w

本书由中国工信出版集团人民邮电出版社(2020年5月)出版,可到各大电商平台(京东、天猫、当当等)购买,搜索书名《Android 应用安全测试与防护》即可。

粉丝福利

我们将对微信公众号该篇文章留言点赞前八的粉丝各赠《Android 应用安全测试与防护》一本,获赠名单将于下周五在公号公布。


企业安全建设,离不开“守望相助”。金融业企业安全建设微信群,入群方式:请加以下微信为好友,备注:姓名-公司-负责领域。销售从业人员暂时不邀请入群,不保证每位申请者入群,敬请谅解。

扫一扫,加入企业安全建设实践群

v2-0fe4397a7aad0c88a3b917bfd29f904c_720w

未能加入“企业安全建设实践群”的朋友,可以加入知识星球,查阅每周实践群讨论话题和发言记录。

知识星球:金融企业安全建设实践

https://t.zsxq.com/EuFyjAm (二维码自动识别)

附注:

  • 聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。
  • 本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。

来源:freebuf.com 2020-06-17 20:48:31 by: kelvin2294

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论