警惕:移动应用App背后的安全危机!

2024-05-29 19:32

本文主要是介绍警惕:移动应用App背后的安全危机!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

       相信每个人在自己的移动设备上安装应用时都会有同样的疑问:为什么这些应用都要读取我的通讯录、获取我的定位信息、读取我的短信、控制我的照相机……天啊,针对手机应用的各种疑惑都快可以写十万个为什么了。这里问一句,如果不读取这些信息移动应用就无法正常运行么?实际上在这一切动作背...
  --这是一个移动的时代,这是一个美好的时代,这更是一个让人不放心的时代。
  相信每个人在自己的移动设备上安装应用时都会有同样的疑问:为什么这些应用都要读取我的通讯录、获取我的定位信息、读取我的短信、控制我的照相机……天啊,针对手机应用的各种疑惑都快可以写十万个为什么了。这里问一句,如果不读取这些信息移动应用就无法正常运行么?实际上在这一切动作背后所隐藏的恰恰是移动应用所正在面临的安全危机--移动恶意威胁。
  据统计,截止2014年6月中国网民规模已达6.32亿,而手机网民的规模更是达到了5.27亿,网民使用手机上网的比例首次超过使用电脑上网的比例。而与此同时,恶意移动APP数量也正在暴增,2014年第一季度移动恶意APP的数量已经超过200万,预计年底将突破300万,与2012年35万的恶意APP数量相比增长超过了8倍。
  手机网民可观的数量规模促使了移动应用的繁荣,丰富多彩的移动应用已经使得手机网民有了一种“乱花渐欲迷人眼”的感觉,可就当网民们正在享受移动应用所带来的便捷与欢乐时,恶意攻击者也从中发现了一些东西,比如网民手机里的话费,比如与手机关联的网上银行,比如可以通过手机毫不设防的访问企业内部网络……2014年5月,安全公司PRAETORIAN针对美国150多家银行的手机银行客户端进行了调研,发布了调查报告《Mobile Banking Security:Building and Maintaining Secure Mobile Apps》。报告通过调研分析得出结论:美国80%的手机银行客户端存在高危交易风险。
  该移动银行风险分析报告的调查样本非常丰富,覆盖了全美最大的50个巨型银行(Top 50 Megabanks),如美国银行(Bank of America)、德意志银行(Deutsche Bank)、美国运通(American Express Company)、花旗银行(Citigroup)、摩根大通(JP Morgan Chase),全美Top 50最大的地区性银行(Largest Regional Banks),如硅谷银行(Silicon Valley BK)、夏威夷银行(Bank Of Hawaii),以及全美Top 50最大的信贷联盟银行(Largest 50 U.S. Credit Unions),如联邦海军信贷协会(Navy Federal Credit Union)等。从调查报告中可以看到,全美最大的50个巨型银行、最大的50个地区性银行、最大的50个联盟信贷银行里,超过80%都在移动银行上面临巨大的安全风险。银行业是最为重视安全的行业,也是最愿意采用最新安全技术保护其系统安全的行业。但就是这样一个行业里大多数最有实力的公司,依然在手机银行方面存在安全隐患,由此可见移动安全问题的严峻性。
    金融机构Android手机移动安全风险
  在Gartner的《2014年信息安全趋势与总结》里显示,移动恶意代码主要表现为特洛伊短信,其次是后门程序。另外,所有移动设备恶意代码攻击都需要用户的交互。也就是说,恶意移动应用要想作恶,首先还是需要得到用户的“同意”。所以这些恶意移动应用一般会伪装成各类短信诱骗人们上当,就比如前一阵“非常成功”的“XX神器”。另外,许多很火的移动应用也被恶意攻击者所钟意,恶意攻击者或者会在这些移动应用里偷偷加载恶意代码暗度陈仓,或者会直接伪装成这些应用诱骗用户上当。
  目前移动应用主要面临10大安全风险:
  1.弱服务端控制
  2. 不安全的数据存储
  3. 传输层保护不足
  4. 意外的数据泄露
  5. 授权认证较弱
  6. 破解密码算法
  7. 客户端注入
  8. 通过不可信输入的安全决策
  9. Session会话处理不当
  10. 缺乏二进制文件保护
  面对应用安全问题,已经有Web应用防火墙、NGFW等新型安全产品帮助用户建立起了坚固的安全防线。但移动终端由于缺乏有效的安全防护产品,安全防护体系十分脆弱。这就等于在应用系统上开了一个易碎的玻璃窗户入口,让恶意攻击者可以在任何时间、任何地点破窗而入,轻松进入应用系统内部,比如进入网银系统偷走用户的金钱,进入企业业务系统窃取机密数据。
  实际上,这些都仅仅是移动应用背后安全危机的冰山一角。现在移动应用无论从产品上还是意识上都在面临安全的空窗期,恶意攻击者必将充分利用这一时期发起更多攻击。此时我们需要考虑的是如何才能建立一个牢固的移动安全保护体系,移动应用安全已经时不我待。对于移动应用背后的安全危机,移动应用dex源码文件安全性是最重要的,因此,这个dex源码加密保护其实很有必要,在这个方面,可以做到的有爱加密这个平台,不同类型的应用也有不同的加密保护方案,详细可以在这里了解: http://www.ijiami.cn/appprotect_mobile_games 

这篇关于警惕:移动应用App背后的安全危机!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1014439

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

菲律宾诈骗,请各位华人朋友警惕各类诈骗。

骗子招聘类型:程序开发、客服、财务、销售总管、打字员等 如果有人用高薪、好的工作环境来你出国工作。要小心注意!因为这些骗子是成群结伴的! 只要你进入一个菲律宾的群,不管什么类型的群都有这些骗子团伙。基本上是他们控制的! 天天在群里有工作的信息,工作信息都是非常诱惑人的。例如招“打字员”、“客服”、“程序员”……各种信息都有。只要你提交简历了,他会根据你的简历判断你这个人如何。所谓的心理战嘛!

csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

这是一道扩展欧几里得算法的简单应用题,这题是在湖南多校训练赛中队友ac的一道题,在比赛之后请教了队友,然后自己把它a掉 这也是自己独自做扩展欧几里得算法的题目 题意:把题意转变下就变成了:求d1*x - d2*y = f2 - f1的解,很明显用exgcd来解 下面介绍一下exgcd的一些知识点:求ax + by = c的解 一、首先求ax + by = gcd(a,b)的解 这个

hdu1394(线段树点更新的应用)

题意:求一个序列经过一定的操作得到的序列的最小逆序数 这题会用到逆序数的一个性质,在0到n-1这些数字组成的乱序排列,将第一个数字A移到最后一位,得到的逆序数为res-a+(n-a-1) 知道上面的知识点后,可以用暴力来解 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#in

zoj3820(树的直径的应用)

题意:在一颗树上找两个点,使得所有点到选择与其更近的一个点的距离的最大值最小。 思路:如果是选择一个点的话,那么点就是直径的中点。现在考虑两个点的情况,先求树的直径,再把直径最中间的边去掉,再求剩下的两个子树中直径的中点。 代码如下: #include <stdio.h>#include <string.h>#include <algorithm>#include <map>#

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

AI行业应用(不定期更新)

ChatPDF 可以让你上传一个 PDF 文件,然后针对这个 PDF 进行小结和提问。你可以把各种各样你要研究的分析报告交给它,快速获取到想要知道的信息。https://www.chatpdf.com/

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提