如何加強移動應用開發安全?
許多企業不斷地向其開發團隊提供培訓。但是某些漏洞,如早在十多年前就發現的SQL注入,如今仍廣泛存在于各種應用中。因而,安全培訓永不過時。
在開發移動應用時,開發者必須自始至終實施一套健全的安全原則,確保移動應用項目開發的安全,理解操作系統和API(應用編程接口)之間的不同點是非常重要的。
擁有應用安全項目的多數企業都有大量的最佳方法和編程標準等,但所有這些大多都是針對Web應用或C/S應用的。所以,必須更新這些技術并將其應用到移動應用的開發中。開發者必須考慮企業使用的操作系統。有許多方法可以開發并強化企業的移動應用安全。下面提供有助于移動應用安全開發的五條妙計:
制定并實施移動安全標準
所有企業都擁有要求開發人員必須遵循某種形式的標準和指南,然而,其重點并不放在安全性上,在許多情況下也不涉及到移動應用。在涉及關閉自動完成功能時,或者在保證正確地保護口令字段時,操作系統之間(如安卓與iOS之間)是不同的。
移動安全標準的目標是提供移動安全控制的一套健全的標準,移動安全標準的安全控制必須關注如下方面:移動設備的安全和管理控制;應用控制;數據控制;網絡級的控制和保護;設備到設備的控制等;用戶訪問控制;資產管理;用戶的授權;信息加密;密鑰管理;反病毒和惡意軟件;業務連續性計劃;業務連續性測試;安全架構(數據安全和完整性、應用安全、無線安全、移動代碼安全)。
例如,移動應用不能包含允許特權訪問繞過身份驗證過程的“后門”代碼。開發者必須謹慎設計授權邏輯,防止特權提升攻擊。所有的架構模式(特別是Web方案)都應當應用訪問控制過濾器,用以提供健全的訪問控制。
在移動應用的打包安全問題上,開發者必須對使用不同語言的(例如J2ME)解釋器所開發的移動軟件“模糊化”,防止黑客利用執行邏輯和通過逆向工程找到攻擊方法。
尤其需要指出的是,在移動代碼的安全標準問題上,在安裝和使用移動代碼前必須獲得授權,而且軟件配置應當保證獲得授權的移動代碼必須根據一套定義明確的安全策略才能運行。所有未授權的移動代碼都不應當被執行。
借助威脅建模執行設計/架構的檢查
由于應用程序越來越多地使用先進技術和更多后端資源,因而它會變得日益復雜。再加上移動通道的新特點,就更加劇了基礎架構的復雜性。在某些情況下,為了支持新的移動通道,應用程序可能需要增加新的基礎架構,或者需要使用或強化當前基礎架構。增加移動通道要求徹底地檢查設計和架構,并重視威脅建模。開發者必須理解移動應用的新威脅和潛在的業務風險。
完整的設計和架構檢查必須包括威脅建模技術,威脅建模采用結構化的方法來確認、評估和決定減輕移動應用風險的適當控制。它對移動應用能夠訪問的敏感信息或資產進行分類,然后以攻擊者的視角來評估其可能的破壞方式。#p#
人工驗證
在借助威脅建模檢查了設計或架構后,開發者應當執行某種水平的人工驗證。人工驗證的范圍和水平由移動應用所帶來的風險量決定。移動應用的大小和復雜性決定驗證的等級或水平,當然所謂的驗證必須依靠反復的代碼檢查和滲透測試。企業必須確保移動應用的驗證專家與內部團隊協同工作,而且,最好在企業內部組建一個強大的測試團隊。
完全的動態和靜態驗證
動態和靜態驗證技術仍不太成熟,同樣,可用的移動應用的動態驗證技術也不多。不過,這并不意味著這些安全技術不能嵌入到安全的移動開發過程中。在有些技術成為主流并且很有效時,開發者就應當開始實行使用靜態方法,評估移動應用代碼,還要保證不會濫用API,并對其它的安全控制進行正確編碼。當然,開發者也可以借助開源項目,使用靜態分析查找Java代碼中的漏洞,甚至可以將潛在的威脅類型分為多個等級。
在此重點說一下靜態分析。有許多技術可以分析靜態代碼,查找潛在的漏洞。這些技術往往源自編譯技術,主要分為數據流分析、控制流圖、污點分析、詞法分析等。
數據流分析用于收集關于靜態軟件數據的運行時信息,它主要分析基本塊、數據流、控制路徑等。數據流分析從軟件的代碼中收集程序的語義信息, 并通過一組簡單方程將程序不同位置的語義信息聯系起來。通過數據流分析, 分析者不必運行程序就知道可以程序運行時的行為。在進行數據流分析前, 為了便于收集和分析,往往需要把源程序轉換成控制流圖。
控制流圖是指通過利用代表基本塊的節點圖來抽象地來表示軟件。圖中的一個節點代表一個塊;定向邊用于代表從一個塊到另一個塊的跳轉(路徑)。如果一個節點僅有一個退出邊,它就被稱為“入口”塊,如果一個節點僅有一個“入口”邊,此節點即為“退出”塊。
在上圖中的“節點1”即為“入口”塊,“節點6”為“退出”塊。
污點分析試圖確認被用戶的可控輸入“污染”的變量,并跟蹤這些變量,查找可能易受攻擊的功能。如果被污染的變量就沒有被凈化,它就成為一個漏洞。
有些編程語言如Perl和Ruby有內置的污點檢查,并在某些情況下(如通過CGI接受數據)啟用此功能。
詞法分析是一個將字符序列轉換為單詞(Token)序列的過程。這個階段的任務是從左到右一個字符一個字符地讀入源程序,即對構成源程序的字符流進行掃描然后根據構詞規則識別單詞(也稱單詞符號或符號)。
限制移動應用的訪問許可
開發“應用許可訪問”的目的是為了分配或剝奪用戶對移動應用的訪問權,例如,安卓要求:如果用戶要使用移動應用,就應當接受該應用所要求的全部許可。此外,在以root權限使用設備時,還可以根據某個具體的移動應用來管理授權。許可限制可以保護鏈接,防止移動應用通過不合法的手段去訪問某些私有信息。
此文遠遠不能解決移動應用開發的所有安全問題,作者僅希望它能夠起到拋磚引玉作用。建議有志于此的開發者,參考AT&T的企業移動安全標準。
