为了更全面地展示这一问题,最近的一项研究表明,在付费和免费程度最高的移动应用程序中:谷歌安卓平台上排名前 100 的付费应用程序中 100% 都曾遭到黑客攻击,苹果 iOS 排名前 100 的支付应用程序中约有 50% 都曾遭到黑客攻击,安卓平台上约有 75% 的最佳免费应用程序中曾遭到黑客攻击,苹果 IOS 上流行的约有 50% 的免费应用程序中曾遭到黑客攻击。
这些数字令人担忧,尤其是因为公司越来越多地采用“自带设备”(BYOD)政策,该政策允许员工将个人生活和职业生活结合到单一移动服务中。84% 的消费者将同一部智能手机用于工作和个人用途 法国电话格式 这一事实对用户体验产生了积极影响,并可能降低 IT 部门安全保护企业系统中数据访问的能力。因此,几乎不可能对移动设备的高价值或该设备中的应用程序组合做出某些假设。这个未知领域,即所谓的“移动远西”使移动应用程序及其实施更加困难。那么,在这个 BYOD 时代,如何保护移动应用程序的安全?下面是一个框架,旨在协助移动应用程序开发人员应对创建、部署和运行安全移动应用程序的挑战,从而降低与企业移动性相关的业务风险。
1.保护代码:创建安全的应用程序:
保护代码
移动恶意软件通常会利用其目标移动应用程序的设计和编码中的漏洞或错误。Info Security 代表的研究表明,恶意代码会同时感染超过 1160 万台移动设备,而且移动恶意软件样本的数量正在快速增长,一半以上达到 201 个。在利用漏洞之前,攻击者可能会获取请求的公开副本并对其进行重新设计。最流行的应用程序被重新打包成包含恶意代码的“恶意应用程序”,并放置在第三方应用程序商店中,以引诱和欺骗受信任的用户安装并破坏他们的设备。应用程序开发公司应该寻找工具来帮助他们的移动开发人员检测安全漏洞并关闭,然后证明他们的应用程序不受非法工程和假冒活动的侵害。然而,“消费者执法”仍然是一个威胁,因为它们无法经过适当的强化过程;如果假冒应用程序、恶意软件和企业应用程序使用同一设备,威胁是显而易见的。
2. 安装设备:在运行时检测濒危和易受攻击的应用程序:
就像安全补充一样,您的安全取决于基础单元的安全。越狱或 root 丢失的设备或虚假应用程序的存在可能会对那些可以授权使用公司某些应用程序但不能使用其他应用程序的人构成风险。印度顶级移动应用程序开发公司必须探索测量动态安全基础单元的方法。首先,移动沙盒应用程序必须完好无损,该应用程序在当今的移动操作系统中广泛使用。删除设备的 root 或越狱违反了基本安全模型,强烈建议将这些设备的访问限制为业务数据。此外,越狱技术发展迅速,可以避免被发现;克服这些机制对于维持这些威胁至关重要。然而,移动恶意软件并不总是基于越狱设备。过度使用用户提供的移动应用程序的权限(通常是默认的)可以为恶意程序和未经授权的应用程序提供访问基本服务(例如 SMS)的权限,从而促进欺诈活动。公司应考虑使用现代应用程序情报来源和信誉服务来跟踪应用程序的浪潮和相关风险,因为它们是移动应用程序日常生活的一部分。利用这些数据,可以根据设备的风险概况激活或停用应用程序的可能性。
3.数据保护:防止数据盗窃和数据泄露:
当移动应用程序访问公司数据时,文档和非结构化信息通常存储在设备上,当设备丢失或在非工作应用程序中传输数据时,数据丢失的可能性就会增加。许多应用程序开发公司已经在寻找远程删除设备的方法,以处理丢失或被盗的设备。移动数据加密可用于保护沙箱中的数据免受恶意软件和其他形式的犯罪分子的访问。为了管理设备应用程序中的数据交换,必须对单个数据项进行加密并进行控制。
4.安全交易:对风险较大的操作的执行管理:
由于移动应用程序允许用户以某种方式处理业务服务,因此交易的风险承受能力会有所不同。例如,与大量新支付提供商批准的交易相比,与阅读人员相关的内容可以被视为低风险。组织必须调整交易实施的方法,同时考虑到基于策略的风险限制客户端功能,其中包括分析移动风险因素,例如设备安全属性、位置和用户网络连接的安全性。即使客户端允许交易,企业应用程序也可以使用移动企业移动威胁机制来关联风险因素,例如 IP 速度(在短时间内从两个相距很远的地方访问同一个帐户)、用户访问模式和数据访问配置文件。这种方法扩展了公司检测和响应可能跨越多个交互渠道的复杂攻击以及看似不相关的安全事件的能力。
