NIX為Android應(yīng)用程序時(shí)檢查了10個(gè)安全問題

時(shí)間：2020-07-13 18:18:27

關(guān)鍵字： Android api nix

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]廉價(jià)和高質(zhì)量的設(shè)備在Android中得到廣泛使用，這創(chuàng)造了巨大的市場(chǎng)。想要保持可見性并與客戶（或員工）互動(dòng)的公司必須確保他們擁有移動(dòng)應(yīng)用程序等。但是，選擇可信賴的應(yīng)用程序開發(fā)公司可能是一個(gè)挑戰(zhàn)。 Nix Solutions是一家網(wǎng)絡(luò)和移動(dòng)軟件開發(fā)公司，也是Upwork（自2002年以來）排名最高的成員。工作成功率為98％，在2,100多個(gè)工作中賺取了大約1,000萬美元。

廉價(jià)和高質(zhì)量的設(shè)備在Android中得到廣泛使用，這創(chuàng)造了巨大的市場(chǎng)。想要保持可見性并與客戶(或員工)互動(dòng)的公司必須確保他們擁有移動(dòng)應(yīng)用程序等。但是，選擇可信賴的應(yīng)用程序開發(fā)公司可能是一個(gè)挑戰(zhàn)。 Nix Solutions是一家網(wǎng)絡(luò)和移動(dòng)軟件開發(fā)公司，也是Upwork(自2002年以來)排名最高的成員。工作成功率為98%，在2,100多個(gè)工作中賺取了大約1,000萬美元。

該公司的GitHub開源產(chǎn)品組合可以在https://github.com/nixsolutions/portfolio中找到。鑒于該公司還具有Android開發(fā)方面的專業(yè)知識(shí)，因此下面概述了該公司所觀察到的與該平臺(tái)相關(guān)的最突出的安全問題。

API管理差A(yù)PI的

問題值得一提。鑒于這些負(fù)責(zé)應(yīng)用程序，用戶，云之間的集成功能和數(shù)據(jù)交換，并且可以從其他方重用這些事實(shí)，因此開發(fā)人員必須非常了解這些交換的數(shù)據(jù)類型以及潛在的安全漏洞。

缺少二進(jìn)制保護(hù)

如果缺少這種保護(hù)，則可以對(duì)代碼進(jìn)行反向工程以引入質(zhì)量差甚至惡意的序列(惡意軟件，病毒)，從而導(dǎo)致用戶體驗(yàn)受損，軟件制造商形象受損甚至財(cái)務(wù)欺詐和用戶數(shù)據(jù)失竊。因此，需要采用各種二進(jìn)制強(qiáng)化技術(shù)，例如校驗(yàn)和檢測(cè)，越獄檢測(cè)，調(diào)試器檢測(cè)等。此外，應(yīng)使用代碼混淆和加密。

不安全的數(shù)據(jù)存儲(chǔ)

鑒于本機(jī)應(yīng)用程序?qū)⑺袛?shù)據(jù)和功能代碼存儲(chǔ)在設(shè)備上，因此與Web應(yīng)用程序相比，它們更容易受到利用和病毒的攻擊。此外，盜竊用戶設(shè)備可能會(huì)導(dǎo)致個(gè)人數(shù)據(jù)濫用，并由此引發(fā)所有后果。明智的解決方案是在操作系統(tǒng)附帶的加密技術(shù)之外或至少將用戶數(shù)據(jù)和文件存儲(chǔ)在加密容器中的基礎(chǔ)上，實(shí)現(xiàn)額外的加密級(jí)別。

加密

技術(shù)破裂盡管開發(fā)人員進(jìn)行了加密工作，但他們可能會(huì)犯一些錯(cuò)誤，從而使惡意的方可以解密敏感數(shù)據(jù)。常見原因包括加密算法不安全，自定義協(xié)議或?qū)?nèi)置加密的過度依賴。顯然，解決方案是使用強(qiáng)大的，公認(rèn)的加密協(xié)議以及有效的實(shí)現(xiàn)。

緩存管理不善

一個(gè)潛在的錯(cuò)誤是使緩存不受保護(hù)，并允許將敏感數(shù)據(jù)存儲(chǔ)在此處。為了解決這個(gè)問題，必須實(shí)現(xiàn)一個(gè)智能緩存清理周期。日志和瀏覽器cookie管理也是如此。

身份驗(yàn)證措施使用

不當(dāng)如今，設(shè)備具有許多增強(qiáng)安全性的功能，例如指紋掃描儀和面部識(shí)別(除了傳統(tǒng)功能，例如密碼，手勢(shì)解鎖等)。因此，最好使用迄今為止可用的最安全的功能(或它們的組合)，而不會(huì)影響用戶體驗(yàn)。尤其重要的是訪問令牌的實(shí)現(xiàn)(用戶每次訪問應(yīng)用程序時(shí)均無需引入登錄憑據(jù))，例如：JSON Web令牌，OAuth2，OpenID Connect。

不安全的網(wǎng)絡(luò)連接和不良的服務(wù)器安全性

必須保護(hù)在應(yīng)用程序服務(wù)器和用戶之間或用戶與Internet之間交換的數(shù)據(jù)免受第三方或意外泄漏的影響。一些建議包括：

by通過VPN建立加密連接，

?實(shí)施證書固定，

?承包網(wǎng)絡(luò)安全公司的服務(wù)以執(zhí)行滲透測(cè)試，

?對(duì)用戶數(shù)據(jù)庫(在服務(wù)器上)進(jìn)行加密。

會(huì)話處理不佳

該概念通常表示在適當(dāng)?shù)那闆r下未從用戶退出會(huì)話的情況，這會(huì)導(dǎo)致會(huì)話時(shí)間過長(zhǎng)，從而帶來風(fēng)險(xiǎn)和潛在利用風(fēng)險(xiǎn)(如果訪問令牌被盜或設(shè)備被盜) )。一種解決方案是針對(duì)應(yīng)用程序內(nèi)的任何重要操作，另外請(qǐng)求用戶憑據(jù)(例如密碼)。

安全性測(cè)試不足

由于對(duì)應(yīng)用程序代碼的測(cè)試不足，引入了許多錯(cuò)誤。開發(fā)人員需要測(cè)試其代碼是否存在漏洞(使用設(shè)備和瀏覽器模擬器)。此外，Google Play批準(zhǔn)該應(yīng)用程序時(shí)所采用的安全性測(cè)試并非全面解決方案，因此需要開發(fā)人員采取其他措施。

如果您有一個(gè)開發(fā)項(xiàng)目，并且正在尋找一家在適當(dāng)實(shí)施所有安全措施的情況下執(zhí)行該工作的公司，請(qǐng)隨時(shí)與100多位已經(jīng)簽約服務(wù)的客戶探討Nix Solutions的評(píng)論。