移动应用背后的安全危机
2014-10-15 13:39来源:未知作者:蒙蒙 阅读量:
北京 2014-10-15(中国商业电讯)--这是一个移动的时代,这是一个美好的时代,这更是一个让人不放心的时代。
相信每个人在自己的移动设备上安装应用时都会有同样的疑问:为什么这些应用都要读取我的通讯录、获取我的定位信息、读取我的短信、控制我的照相机……天啊,针对手机应用的各种疑惑都快可以写十万个为什么了。这里问一句,如果不读取这些信息移动应用就无法正常运行么?实际上在这一切动作背后所隐藏的恰恰是移动应用所正在面临的安全危机——移动恶意威胁。
据统计,截止2014年6月中国网民规模已达6.32亿,而手机网民的规模更是达到了5.27亿,网民使用手机上网的比例首次超过使用电脑上网的比例。而与此同时,恶意移动APP数量也正在暴增,2014年第一季度移动恶意APP的数量已经超过200万,预计年底将突破300万,与2012年35万的恶意APP数量相比增长超过了8倍。
手机网民可观的数量规模促使了移动应用的繁荣,丰富多彩的移动应用已经使得手机网民有了一种“乱花渐欲迷人眼”的感觉,可就当网民们正在享受移动应用所带来的便捷与欢乐时,恶意攻击者也从中发现了一些东西,比如网民手机里的话费,比如与手机关联的网上银行,比如可以通过手机毫不设防的访问企业内部网络……
2014年5月,安全公司PRAETORIAN针对美国150多家银行的手机银行客户端进行了调研,发布了调查报告《Mobile Banking Security:Building and Maintaining Secure Mobile Apps》。报告通过调研分析得出结论:美国80%的手机银行客户端存在高危交易风险。
该移动银行风险分析报告的调查样本非常丰富,覆盖了全美最大的50个巨型银行(Top 50 Megabanks),如美国银行(Bank of America)、德意志银行(Deutsche Bank)、美国运通(American Express Company)、花旗银行(Citigroup)、摩根大通(JP Morgan Chase),全美Top 50最大的地区性银行(Largest Regional Banks),如硅谷银行(Silicon Valley BK)、夏威夷银行(Bank Of Hawaii),以及全美Top 50最大的信贷联盟银行(Largest 50 U.S. Credit Unions),如联邦海军信贷协会(Navy Federal Credit Union)等。从调查报告中可以看到,全美最大的50个巨型银行、最大的50个地区性银行、最大的50个联盟信贷银行里,超过80%都在移动银行上面临巨大的安全风险。银行业是最为重视安全的行业,也是最愿意采用最新安全技术保护其系统安全的行业。但就是这样一个行业里大多数最有实力的公司,依然在手机银行方面存在安全隐患,由此可见移动安全问题的严峻性。
2014年5月,移动应用安全服务提供商梆梆安全,参考人民银行在2013年发布的《中国金融移动支付-客户端技术规范》,对国内24家金融机构进行的Android手机安全评估调研分析中发现,绝大多数金融机构都存在严重移动安全风险,比较集中和突出的移动安全风险包括动态调试、代码注入、反编译、篡改、界面劫持等。
目前移动应用主要面临10大安全风险:
1.弱服务端控制
2. 不安全的数据存储
3. 传输层保护不足
4. 意外的数据泄露
5. 授权认证较弱
6. 破解密码算法
7. 客户端注入
8. 通过不可信输入的安全决策
9. Session会话处理不当
10. 缺乏二进制文件保护
面对应用安全问题,已经有Web应用防火墙、NGFW等新型安全产品帮助用户建立起了坚固的安全防线。但移动终端由于缺乏有效的安全防护产品,安全防护体系十分脆弱。这就等于在应用系统上开了一个易碎的玻璃窗户入口,让恶意攻击者可以在任何时间、任何地点破窗而入,轻松进入应用系统内部,比如进入网银系统偷走用户的金钱,进入企业业务系统窃取机密数据。
实际上,这些都仅仅是移动应用背后安全危机的冰山一角。现在移动应用无论从产品上还是意识上都在面临安全的空窗期,恶意攻击者必将充分利用这一时期发起更多攻击。此时我们需要考虑的是如何才能建立一个牢固的移动安全保护体系,移动应用安全已经时不我待。
相信每个人在自己的移动设备上安装应用时都会有同样的疑问:为什么这些应用都要读取我的通讯录、获取我的定位信息、读取我的短信、控制我的照相机……天啊,针对手机应用的各种疑惑都快可以写十万个为什么了。这里问一句,如果不读取这些信息移动应用就无法正常运行么?实际上在这一切动作背后所隐藏的恰恰是移动应用所正在面临的安全危机——移动恶意威胁。
据统计,截止2014年6月中国网民规模已达6.32亿,而手机网民的规模更是达到了5.27亿,网民使用手机上网的比例首次超过使用电脑上网的比例。而与此同时,恶意移动APP数量也正在暴增,2014年第一季度移动恶意APP的数量已经超过200万,预计年底将突破300万,与2012年35万的恶意APP数量相比增长超过了8倍。
手机网民可观的数量规模促使了移动应用的繁荣,丰富多彩的移动应用已经使得手机网民有了一种“乱花渐欲迷人眼”的感觉,可就当网民们正在享受移动应用所带来的便捷与欢乐时,恶意攻击者也从中发现了一些东西,比如网民手机里的话费,比如与手机关联的网上银行,比如可以通过手机毫不设防的访问企业内部网络……
2014年5月,安全公司PRAETORIAN针对美国150多家银行的手机银行客户端进行了调研,发布了调查报告《Mobile Banking Security:Building and Maintaining Secure Mobile Apps》。报告通过调研分析得出结论:美国80%的手机银行客户端存在高危交易风险。
该移动银行风险分析报告的调查样本非常丰富,覆盖了全美最大的50个巨型银行(Top 50 Megabanks),如美国银行(Bank of America)、德意志银行(Deutsche Bank)、美国运通(American Express Company)、花旗银行(Citigroup)、摩根大通(JP Morgan Chase),全美Top 50最大的地区性银行(Largest Regional Banks),如硅谷银行(Silicon Valley BK)、夏威夷银行(Bank Of Hawaii),以及全美Top 50最大的信贷联盟银行(Largest 50 U.S. Credit Unions),如联邦海军信贷协会(Navy Federal Credit Union)等。从调查报告中可以看到,全美最大的50个巨型银行、最大的50个地区性银行、最大的50个联盟信贷银行里,超过80%都在移动银行上面临巨大的安全风险。银行业是最为重视安全的行业,也是最愿意采用最新安全技术保护其系统安全的行业。但就是这样一个行业里大多数最有实力的公司,依然在手机银行方面存在安全隐患,由此可见移动安全问题的严峻性。
2014年5月,移动应用安全服务提供商梆梆安全,参考人民银行在2013年发布的《中国金融移动支付-客户端技术规范》,对国内24家金融机构进行的Android手机安全评估调研分析中发现,绝大多数金融机构都存在严重移动安全风险,比较集中和突出的移动安全风险包括动态调试、代码注入、反编译、篡改、界面劫持等。
图:金融机构Android手机移动安全风险
目前移动应用主要面临10大安全风险:
1.弱服务端控制
2. 不安全的数据存储
3. 传输层保护不足
4. 意外的数据泄露
5. 授权认证较弱
6. 破解密码算法
7. 客户端注入
8. 通过不可信输入的安全决策
9. Session会话处理不当
10. 缺乏二进制文件保护
面对应用安全问题,已经有Web应用防火墙、NGFW等新型安全产品帮助用户建立起了坚固的安全防线。但移动终端由于缺乏有效的安全防护产品,安全防护体系十分脆弱。这就等于在应用系统上开了一个易碎的玻璃窗户入口,让恶意攻击者可以在任何时间、任何地点破窗而入,轻松进入应用系统内部,比如进入网银系统偷走用户的金钱,进入企业业务系统窃取机密数据。
实际上,这些都仅仅是移动应用背后安全危机的冰山一角。现在移动应用无论从产品上还是意识上都在面临安全的空窗期,恶意攻击者必将充分利用这一时期发起更多攻击。此时我们需要考虑的是如何才能建立一个牢固的移动安全保护体系,移动应用安全已经时不我待。
责任编辑:LBR3753
相关文章
冬日健康食谱助宝宝健康强壮
天气寒冷,宝宝食欲不振。那么,在这个寒冷的冬天,该怎样制定健康食谱,让宝宝既能抵御严寒,又能补充宝宝生长所需的营养呢? 一、无机盐不可缺 无机盐能帮助宝宝抵御...
2019年11月07日
炖鱼汤时,记住这三点,不管什么鱼,汤都是又白又浓无腥味
鱼大家都喜欢拿去炖汤,这样不仅可以吃到鲜嫩的鱼肉,还可以喝到营养丰富的汤。 炖鱼汤,大家都会做,但是很多人炖出来的鱼汤不好喝,味道腥,颜色也不白,看起来就没...
2019年11月07日
孕妇挺了7个月“大肚子”,却坐了个“空月子”,这份心情谁能懂
文|C位妈妈(文章原创,版权归本作者所有,欢迎个人转发分享) 虽说为人父母是一件开心的事,但这怀胎十月可并不轻松,孕妈要从孕吐熬到最后破羊水,这其中的每一天对...
2019年11月07日
“头胎是女儿,那就敢要二胎了”过来人的经验证明,想法太愚蠢
文|文儿 在网站上看到一位网友分享的关于自己的生产经历,说自己生了个儿子,隔壁床的产妇生了个女儿,本来这都是很正常的事,但隔壁婆婆当时说了句,头胎是女儿,那就...
2019年11月07日
热门文章
-
1.妇科医生:女性超过这个年龄,建议不要生2胎,否则受
- 1
- 妇科医生:女性超过这个年龄,建议不要生2胎,否则受
- 2019年10月31日
- 1
-
2.百天宝宝拍“艺术照”,上午全家美滋滋,下午却把孩子
- 2
- 百天宝宝拍“艺术照”,上午全家美滋滋,下午却把孩子
- 2019年10月30日
- 2
-
3.意乱情迷
- 3
- 意乱情迷
- 2018年04月12日
- 3
-
4.一“网”情深服务 万家灯火璀璨
- 5
- 一“网”情深服务 万家灯火璀璨
- 2018年04月12日
- 5
-
5.海南告别“教育洼地”
- 5
- 海南告别“教育洼地”
- 2018年04月12日
- 5
-
6.儋州开展互联网广告专项整治行动
- 6
- 儋州开展互联网广告专项整治行动
- 2018年04月12日
- 6
-
7.万宁从严综合整治餐饮业
- 7
- 万宁从严综合整治餐饮业
- 2018年04月12日
- 7
-
8.30辆纯电动新能源公交车那大投入运营
- 8
- 30辆纯电动新能源公交车那大投入运营
- 2018年04月12日
- 8
-
9.明确污水处理“时间表”和“路线图”
- 9
- 明确污水处理“时间表”和“路线图”
- 2018年04月12日
- 9
-
10.影像志·园
- 10
- 影像志·园
- 2018年04月12日
- 10
热门图文
-
冬日健康食谱助宝宝健康强壮
2019年11月07日
-
黑木耳红枣汤
2019年11月07日
-
炖鱼汤时,记住这三点,不管什么鱼,汤都是又白又浓
2019年11月07日
-
孕妇挺了7个月“大肚子”,却坐了个“空月子”,这份
2019年11月07日
-
“头胎是女儿,那就敢要二胎了”过来人的经验证明,
2019年11月07日
-
真相!粉碎谣言,轻松应对孕早期!
2019年11月07日
-
孕酮低=要保胎?别自己吓自己!
2019年11月07日
-
孩子打疫苗 家长先补课
2019年11月04日
图文推荐
-
冬日健康食谱助宝宝健康强壮
2019年11月07日
-
爱干净的父母,也别随便清洗孩子这五个部位,免得酿
2019年11月04日
-
从怀孕到分娩女性子宫变化有多大?这5张图为你揭秘:
2019年11月03日
-
金盾爱婴薯条软蛋糕 吃出健康美味好营养
2019年11月03日
-
初冬 青蛙王子童装“绒”入日常
2019年11月03日
-
什么时候停止和孩子共浴?正确的做法让孩子受益终生
2019年11月03日
-
“妈妈,今天我同学说你好丑!”有孩子后,当妈的也
2019年11月03日
-
6岁孩子玩手机上瘾遭母亲打,孩子跪地求饶:“妈,求
2019年11月03日