技術中臺之移動平臺安全架構設計
轉載本文需注明出處:EAWorld,違者必究。
眾所周知,移動信息安全一直以來都是大家關注的焦點,工業和信息話部近年來也在大力整頓移動App對于個人信息的違規采集。2020年新冠肺炎的爆發,很多公司都采用遠程辦公,移動信息化建設的需求更加迫切。
建設App不是簡單的把PC端的業務遷移到手機端,我們要對移動信息化安全有一個清晰的認知。常見的移動安全問題有哪些,建設移動App時網關如何設計,移動App終端如何建設保障數據安全等等,本文將會為大家一一解答。
目錄:
1.常見的移動安全問題介紹
2.移動安全設計之移動網關
3.移動安全設計之移動終端
一、常見的移動安全問題介紹
1.1移動安全問題之中間人攻擊
關于中間人攻擊,我們簡單說下中間人攻擊的原理:
比如你的App想訪問服務A,正常情況下你是和A直接通信,訪問路徑為App-->A。有一天你不小心連接了一個不安全的WiFi,WiFi里有一個竊取信息服務C,這個時候你訪問服務A,訪問的路徑就變成了App-->C-->A,你的信息在中間人C那里是透明的,而且還可以篡改你的請求信息。
在這里也提醒一下大家,出門在外,盡量不要去連接一些不安全的WiFi,你的個人重要信息可能就在不經意間被不法分子竊取。
1.2移動安全問題之App攻擊
移動終端App的攻擊,主要分為一下三個方面:
手機存儲信息竊取
Android 手機對于信息存儲安全的處理沒有iOS的嚴格,很多App在一啟動時就獲取了非常多權限,比如相冊、SD卡讀寫、手機基本信息(手機號)等等。如果你下載的三方App不是從正規的渠道(廠商的應用商店)下載,如果你下載了被重新打包注入了竊取信息的木馬,一旦你使用該App并且授予了權限,你的手機信息(照片、通訊錄等等)將會被獲取傳入到第三方服務。
手機日志敏感信息泄露
開發人員在開發期都會有打印日志的習慣,一個不小心就會有敏感信息打印到控制臺,這樣的app上線后就會有很大的安全隱患。不知道大家有沒有在火車站充電樁給手機充過電,這里的充電口如果被不法分子利用,插入充電的時候,你的手機控制臺的日志信息就會被完全收集。
界面劫持
界面劫持通俗點講就是做了一個和目標App完全一樣的頁面,通過技術手段讓目標app閃退,啟動木馬頁面,一旦用戶輸入賬號密碼,你的信息就會被竊取。
1.3移動安全問題之開發工具攻擊
大家還記得2015年的Xcode Ghost病毒嗎?該病毒波及眾多產品,其中不乏大公司的知名應用,也有不少金融類應用,還有諸多民生類應用。究其根源是開發者從非官方渠道下載了Xcode,導致打包后的應用里攜帶了三方代碼,App運行會向三方服務發送用戶數據。所以作為開發人員或決策者,一定要通過統一的、安全的、從正規渠道下載的工具的機器去打包App。
分享
請輸入評論內容...
請輸入評論/評論長度6~500個字
最新活動更多
- 1 AI狂歡遇上油價破百,全球股市還能漲多久? | 產聯看全球
- 2 OpenAI深夜王炸!ChatGPT Images 2.0實測:中文穩、細節炸,設計師慌了
- 3 6000億美元估值錨定:字節跳動的“去單一化”突圍與估值重構
- 4 Tesla AI5芯片最新進展總結
- 5 連夜測了一波DeepSeek-V4,我發現它可能只剩“審美”這個短板了
- 6 熱點丨AI“瑜亮之爭”:既生OpenClaw,何生Hermes?
- 7 AI界的殺豬盤:9秒刪庫跑路,全員被封號,還繼續扣錢!
- 8 2026,人形機器人只贏了面子
- 9 DeepSeek降價90%:價格屠夫不是身份,是戰略
- 10 AI Infra產業鏈卡在哪里了?
