1、终端安全:
手机之所以能实现诸多功能,是因为我们的手机中安装了很多传感器,例如光线传感器、距离传感器、加速度传感器、压力传感器、磁场传感器、指纹传感器、陀螺仪等,这些传感器作为手机应用的基础,在访问权限方面几乎是不设防的,也就是说任何一个应用都能随意访问,不需要机主授权。而不法分子要做的,就是设疑一段计算程序,然后让它分析从手机传感器上获取的大量零散数据,从而就暗处你的位置、你的习惯,甚至是你每一次触摸手机屏幕时按的键。
2、系统安全:
当前,我国手机终端操作系统集中在Android、iOS、Symbian和WindowsPhone。移动终端在操作系统、软件平台、硬件、应用软件等各方面尚缺乏安全防护措施。就操作系统而言,移动终端的操作系统还没有出现类PC的统一操作系统,导致移动终端受攻击的概率比传统 PC高很多,为各类病毒的传播及恶意代码的入侵创造了有利环境。此类病毒、恶意代码给终端用户的隐私、移动网络安全带来了潜在威胁。
3、应用安全:
现在机会所有APP都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接受大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方获取,导致数据被盗取、接口被盗刷。
APP的移动安全主要包括下面几种:
1、密钥破解,导致本地加密数据被盗取;
2、通信密钥破解,导致接口数据被盗取3、伪造接口数据上报;4、接口签名被破解,导致接口可以被重放攻击。
以安卓系统恶意利用保活功能为例,简单介绍一下应用进程保护滥用场景:
1、寻找设备漏洞获取Root,释放恶意进程保护文件;
2、利用双管道互相监听,保证双向监听进程是否存活;
3、调用系统新增接口。
4、数据泄露:网络是一个高度共享的平台,移动互联网的产生使社会迎来了全民“触网”时代,但也增加了安全性问题的产生机率,新型网络产品所带来的各种漏洞风险也日益上升。移动互联网服务对象是人类,难免在服务过程中会出现大量用户信息,如身份信息、消费信息、位置信息等等,这些信息会被保存在相关的网络信息库中,成为大数据时代重要信息资源,如果没有建立完善的信息管控机制,用户的这些信息会被非法滥用。
在Internet环境下,安全问题我主要分为如下几类:
信息传输过程中被黑客窃取
服务器自身的安全
服务端数据的安全
首先,如果能用https,就尽量用https,能用nginx等常见服务器,就用常见服务器,主要能避免以下问题:
自己实现的协议&Server端可能会有各种Bug,被缓冲区溢出攻击等
SSL加密体系在防监听方面已经足够成熟,值得信赖
如果需要自己实现Server端,实现一套合格的SSL还是很考验功底的:
首先要弄明白SSL加密体系密钥交换的原理
对各种对称、非对称加密算法要有深刻的理解
用非对称加密算法怎么实现一套密钥交换体系
如何处理ca证书,在自签名情况下怎么避免中间人攻击
工程实现过程中,要考虑:
各种可能的缓冲区溢出攻击
SYN flood攻击,慢连接攻击
DDoS防起来有难度,但至少能防御DoS攻击
业务逻辑层面,要考虑:
每个接口都要做好用户&权限验证
接口会不会被人乱用,重放攻击
攻击方会不会找到一个比较消耗服务端资源的接口,用很小的代价耗尽服务端资源
用户的用户名密码会不会被通过接口破解,参见:2014 celebrity photo hack
你的服务会不会被黑客利用去攻击别的服务,特别是会根据用户输入抓取什么资源的服务
古老的SQL注入
无耻的仿冒服务,DNS欺诈
跨站攻击
有疑问加站长微信联系(非本文作者))
