一、移动应用安全威胁与需求分析
移动应用系统包括三个部分:
1.移动应用,简称App。
2.通信网络,包括无线网络、移动通信网络及互联网。
3.应用服务端,由相关的服务器构成(如微信,除客户端外,还有服务端和硬件系统),负责处理来自App的相关信息或数据。
移动应用的安全威胁:
1.移动操作系统平台安全威胁。(谷歌Android+苹果IOS+华为鸿蒙)
2.无线网络攻击。(4G/5G假冒基站+WIFI“钓鱼”,或其他通信内容监听)
**3.恶意代码。**恶意扣费、隐私窃取、远程控制、诱骗欺诈、系统破坏、恶意传播等。
**4.移动应用代码逆向工程。**攻击者通过对移动应用程序的二进制代码进行反编译分析,获取移动应用源代码的关键算法思路或取敏感数据。
5.移动应用程序非法篡改。攻击者利用安全工具非法篡改移动应用程序,实现恶意的攻击,窃取用户信息。
二、Android系统安全与保护机制
Android系统分成
Linux内核层(Linux Kenel)
系统运行库层(Libraries和Android Runtime)
应用程序框架层(Application Framework)
应用程序层(Applications)
1.应用程序层:权限声明机制。
为操作权限和对象之间设定了一些限制,只有把权限和对象进行绑定,才可以有权操作对象。 **权限声明机制(类似访问控制)**还制定了不同级别不同的认证方式的制度。应用程序层的权限包括如下四种权限:
**normal权限(普通权限):**不会给用户带来实质性的伤害。
**dangerous权限:**可能会给用户带来潜在威胁,如读取用户位置信息读取电话等,对于此类安全威胁,目前大多数手机会在用户安装应用时提醒用户。
**signature权限(签名):**只有和定义该权限者具有相同签名的应用才可以申请该权限。
sianature or System权限:主要由设备商使用。
2.应用程序框架层:应用程序签名机制。
Android将应用程序打包成APK文件,应用程序签名机制规定对****APK文件进行数字签名,用来标识应用程序开发者和应用程序之间存在信任关系。
安装到Android系统中的应用程序必须拥有一个数字证书,用于标识应用程序的作者和应用程序之间的信任关系。
3.系统运行层:沙箱机制、SSL
**沙箱隔离机制:**应用程序和其相应运行的Dalvik虚拟机都运行在独立的Linux进程空间,不与其他应用程序交叉实现完全隔离。
Android支持使用SSL/TSL协议对网络数据进行传输加密,以防止敏感数据泄露。
4.内核层:文件系统安全、地址空间布局随机化SELinux
Android系统的内核层采用分区和Linux ACL权限控制机制。每个文件访问控制权限都由其拥有者、所属的组读写执行三个方面共同控制。文件在创建时被赋予了不同的应用程序ID,只有拥有相同应用程序ID或被设置为全局可读写才能够被其他应用程序所访问。
地址空间布局随机化SELinux主要是防止恶意代码利用缓冲区溢出实现攻击。
三、IOS系统安全与保护机制
IOS平台是苹果公司封闭的生态系统。
分为四个层次:核心操作系统层(Core OS Layer)、 核心服务层(Core Services Layer)、媒体层(Media Layer)和可触摸层(Cocoa Touch Layer) .
**可触摸层:**负责用户在IOS设备上的触摸交互操作。
**媒体层:**提供应用中视听方面的技术。
**核心服务层:**提供给应用所需要的基础的系统服务,如账户、数据存储、网络连接、地理位置、运动框架等。
**核心操作系统层:**提供认证、安全、外部访问、系统等服务。(类似于安卓的linux)
I0S平台的安全架构可以分为硬件、 固件和软件
1.硬件、固件层由设备密钥、设备组密钥、苹果根认证、加密引擎、内核组成。
2.软件层则由文件系统、操作系统分区、用户分区、应用沙盒及数据保护类构成。
IOS平台主要安全机制如下:
**1.安全启动链。**IOS启动过程使用的组件要求完整性验证,确保信任传递可控。
**2.数据保护。**针对移动设备因丢失或被取导致的泄露数据的风险,提供了数据保护API,API让应用开发者尽可能简单地对文件和keychain项中存储的敏感用户数据施以足够的保护。
**3.数据的加密与保护机制。**IOS内所有用户数据都是强制加密的。苹果的AES加解密引擎都是硬件级的。
**4.地址空间布局随机化。**利用ASLR技术,确保IOS的二进制文件、库文件、动态链接文件、栈和堆内存地址的位置是随机分布的,从而增强抗攻击能力。
**5.代码签名。**为防止应用攻击,IOS系统要求所有可执行程序必须使用苹果公司发放的证书签名。
**6.沙箱机制。**通过沙箱机制,可以限制进程的恶意行为。
四、移动应用安全保护机制与技术方案
为保护移动应用App的安全性,通常采用:
1.防反编译。对移动应用程序文件进行加密处理,防止攻击者通过静态的反编译工具,获取到应用的源代码。除了加密措施之外,还可以对移动应用程序进行代码混淆,增加破解者阅读代码的难度。常见的混方法有名字混淆、控制混淆、计算混淆等。
**2.防调试。**为防止应用程序动态调试,应用程序设置调试检测功能,以触发反调试安全保护措施,如清理用户数据、报告程序所在设备的情况、禁止使用某些功能甚至直接退出运行。(通过调试程序来挖掘APP的内部机制,以窃取软件的知识产权)
**3.防篡改。**通过数字签名和多重校验的防护手段,验证移动应用程序的完整性,防范移动应用程序APK被二次打包以及盗版。
**4.防窃取。**对移动应用相关的本地数据文件、网络通信等进行加密,防止数据被窃取。
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。
扫一扫
4534
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
