软考信安25~移动应用安全需求分析与安全保护工程
1、移动应用安全威胁与需求分析
1.1、移动应用系统组成
包括三个部分: 一是移动应用,简称App; 二是通信网络,包括无线网络、移动通信网络及互联网; 三是应用服务端,由相关的服务器构成,负责处理来自App 的相关信息或数据。
1.2、移动应用安全分析
(1)移动操作系统平台安全威胁
市场上主要的移动操作系统是苹果公司的iOS 操作系统与Google 公司开源的Android 操作系统。例如IOS“1970”漏洞,通过设置系统时间为1970 年5 月及更早的日期,触发漏洞导致手机重启后不能正常使用。
(2)无线网络攻击
攻击者利用移动应用程序依赖的无线网络通信环境或网络服务的安全隐患,实施通信内容监听、假冒基站、网络域名欺诈、网络钓鱼等攻击活动。
移动应用面临WIFI 、蓝牙(Bluetooth) 、NFC 等多种无线攻击安全威胁。
(3)恶意代码
常见的恶意行为有流氓行为、资费消耗、恶意扣费、隐私窃取、远程控制、诱骗欺诈、系统破坏、恶意传播等。
DroidDream 恶意软件利用系统漏洞获取root 权限,最终完全入侵手机并控制手机,收集和传输用户的敏感信息;
BaseBridge 是一款恶意扣费类软件。
(4)移动应用代码逆向工程
对移动应用程序的二进制代码进行反编译