移動套用安全

作者：(美國)希曼蘇?德維威迪(Himanshu Dwivedi) (美國)克里斯?克拉克(Chris Clark) (美國)大衛?蒂爾(David Thiel) 譯者：李祥軍 羅熊

希曼蘇?德維威迪，Himanshu Dwivedi是iSEC Partners公司的創始人之一。作為一家信息安全公司，iSEC致力於套用安全。Chris Clark和David Thiel是iSEC Partners公司的首席安全顧問。

《移動套用安全》不僅僅是下一波技術浪潮，在不遠的將來對於很多關鍵活動而言，它將成為默認的計算方式，如E-mail、線上購物、遊戲甚至娛樂等。《移動套用安全》介紹了手機、PDA等移動設備面臨的主要安全挑戰以及一些移動套用安全開發中的技巧。以Android、iPhone、Windows Mobile、BlackBerry以及Symbian等作業系統為例，詳細闡述了這些系統的安全功能以及如何利用這些功能來開發安全的移動套用，如防護緩衝區溢出、SQL注入攻擊以及部署私鑰與公鑰密碼技術等。

針對當前的熱點套用，《移動套用安全》還介紹了WAP、藍牙、SMS、MMS、移動地理定位等移動套用面臨的安全威脅、自身存在的安全不足以及由此帶來的安全風險，並介紹了針對移動平台的企業安全問題，以及不同系統的安全措施和安全防護手段。

概述

移動套用安全特指在移動套用領域的安全。無論是ios系統還是安卓系統，套用安全已經成為移動網際網路的第一焦點。手機安全問題日益嚴峻，惡意軟體層出不窮，不僅嚴重威脅到用戶的個人隱私，還可能給用戶造成財產損失。正是因為移動套用數量火爆增長且移動套用市場無法辨別惡意軟體，才導致惡意軟體泛濫。Android手機套用數量增長迅猛，各類套用大量出現在套用商店和網站上，其中充斥著很多山寨套用，用戶在分不清真假的情況下很可能下載到被植入惡意代碼的App。

相關調查結果顯示，手機病毒帶來的主要危害包括惡意吸費、誘騙欺詐、系統破壞和隱私獲取四大類，占比高達96%，其中惡意吸費類占比最大，達到39.2%;其次是誘騙欺詐類占到24.1%，系統破壞占比24.0%，隱私獲取達到8.7%;此外，遠程控制、流氓行為和惡意傳播分別為1.7%、1.3%和1.0%。

面對如此嚴峻的移動套用環境，開發者需要做好移動套用的加固。根據專為開發者提供移動應用程式加固服務的愛加密了解，對於移動套用APP加密保護的問題，如何對DEX檔案加密尤為重要。DEX(class.dex) 檔案是Android系統中可以在Dalvik虛擬機上直接運行的檔案格式。Java源碼通過ADT編譯成smali語言這是一個最佳化的過程，相對於.class檔案它體積小、運行效率高、被編譯後可讀性低；smali再到class.dex本身就是一個加殼保護的過程。DEX檔案如果未做好保護，黑客通過反編譯可讓源碼完全暴露，可利用閱讀源碼來找到APP的設計流程，通過對程式流程的了解將很容易對程式進行盜版、惡意篡改、惡意代碼注入等危險行為。

近年來，隨著APP爆發式的增長，各種APP的安全問題也接踵而來；由於Android系統開源架構特性，安卓移動套用成為惡意病毒攻擊的重點目標。造成這種情況的最大原因在於App開發時存在各種漏洞未及時發現及修復，或者在於大部分開發者比較重視套用開發的速度，往往會忽視了套用的安全性，或者說他們沒有精力和時間去測試套用的安全性，最終導致一些不可彌補的損失。

專為開發者提供移動套用檢測愛內測反饋的數據來看，愛內測對11類android app中同等數量的熱門app進行了檢測，得到的結果如下：

1.參與檢測的android app中，近97%的app都存在漏洞問題，且平均漏洞量高達40個；

2.安全類app漏洞問題最多，其漏洞總量499個，占所有類別app漏洞總量的21%；

3.新聞、旅遊類app相對最不安全，其各自漏洞總量約240個，且其中高危漏洞量占比30%；

4.遊戲類app相對最安全，漏洞總量約57個，且其中高危漏洞占比約2%。

從測試結果來看，android app的安全問題不容樂觀，漏洞的存在尤其是高危漏洞，會對app開發者甚至用戶帶來較大影響。

移動套用安全檢測一般需要對套用進行組件安全檢測、代碼安全檢測、記憶體安全檢測、數據安全檢測、業務安全檢測、套用管理檢測。