安全編碼標(biāo)準(zhǔn)缺失 移動(dòng)應(yīng)用將走向何方?
隨著移動(dòng)互聯(lián)網(wǎng)的火熱發(fā)展,以及IT消費(fèi)化給企業(yè)用戶帶來(lái)的巨大變革,使得移動(dòng)應(yīng)用市場(chǎng)也越發(fā)火熱起來(lái)。從最小的微型企業(yè)到最大的大型企業(yè),幾乎所有的企業(yè)都想方設(shè)法要在移動(dòng)應(yīng)用領(lǐng)域分一杯羹,業(yè)界正在見(jiàn)證著一場(chǎng)聲勢(shì)浩蕩的移動(dòng)應(yīng)用開(kāi)發(fā)熱潮。然而,在各種企業(yè)盲目地沖進(jìn)這塊處女地時(shí),移動(dòng)開(kāi)發(fā)人員感到有些擔(dān)心:由于移動(dòng)開(kāi)發(fā)環(huán)境仍然處于起步階段,并沒(méi)有真正可行的標(biāo)準(zhǔn)來(lái)引導(dǎo)開(kāi)發(fā)工作,可以說(shuō),這對(duì)于所有參與移動(dòng)開(kāi)發(fā)領(lǐng)域的各方來(lái)說(shuō)都是一次冒險(xiǎn)。
最讓安全專家擔(dān)心的是快速的移動(dòng)開(kāi)發(fā)周期以及缺乏移動(dòng)平臺(tái)相關(guān)的經(jīng)驗(yàn)導(dǎo)致開(kāi)發(fā)者在面對(duì)移動(dòng)應(yīng)用程序時(shí),將過(guò)去五年行業(yè)努力推行的各種安全開(kāi)發(fā)原則都拋之腦后。
“快速的開(kāi)發(fā)周期讓編程可以在很短的時(shí)間內(nèi)實(shí)現(xiàn),從而導(dǎo)致安全性被忽略,安全成了一件很好但很難做到的事情,這種情況發(fā)生在大公司(看看Googlewallet:GoogleWallet爆漏洞支付帳號(hào)易被盜用),也發(fā)生在剛剛起步的小公司,”應(yīng)用程序安全公司Cenzic工程總監(jiān)TylerRorabaugh表示,“當(dāng)Techcrunch宣布最熱門(mén)的新公司時(shí),幾乎所有這些公司都缺乏安全編碼的做法,很少關(guān)注安全問(wèn)題,除非真得出現(xiàn)了問(wèn)題,大多數(shù)時(shí)間里他們甚至沒(méi)有意識(shí)到這些問(wèn)題。”
據(jù)Rorabaugh表示,大型移動(dòng)平臺(tái)供應(yīng)商(例如蘋(píng)果和Google)現(xiàn)在才剛開(kāi)始思考安全移動(dòng)編碼。
困難之處在于即使對(duì)于意識(shí)到風(fēng)險(xiǎn)并想要確保其移動(dòng)應(yīng)用程序安全性的大型公司而言,目前并不存在可行的開(kāi)發(fā)標(biāo)準(zhǔn),也沒(méi)有測(cè)試編碼是否存在漏洞的可用工具。
“我們的一些客戶正在開(kāi)發(fā)移動(dòng)應(yīng)用程序,并準(zhǔn)備將程序介紹給他們的客戶,而我們會(huì)對(duì)這些應(yīng)用程序進(jìn)行審查以確保它們的安全性,”安全咨詢公司Protiviti公司執(zhí)行董事ScottLaliberte表示,“這需要我們來(lái)重新審視我們的應(yīng)用程序測(cè)試辦法,因?yàn)闇y(cè)試移動(dòng)應(yīng)用程序要比測(cè)試一般應(yīng)用程序要困難。確定你測(cè)試移動(dòng)應(yīng)用程序所面臨的主要風(fēng)險(xiǎn)和所需要的技術(shù)可能是一個(gè)挑戰(zhàn),而缺乏標(biāo)準(zhǔn)則是另一個(gè)巨大挑戰(zhàn)。對(duì)于移動(dòng)領(lǐng)域而言,并不存在OWASP或者任何真正的編碼標(biāo)準(zhǔn)。”因此,充斥在市場(chǎng)上的所有移動(dòng)應(yīng)用程序都可能存在重大漏洞,可能讓企業(yè)和客戶處于風(fēng)險(xiǎn)之中。例如,Rorabaugh表示,移動(dòng)應(yīng)用程序開(kāi)發(fā)人員并沒(méi)有測(cè)試移動(dòng)應(yīng)用程序在云端使用的移動(dòng)服務(wù),并且這些移動(dòng)應(yīng)用程序中存在嚴(yán)重的加密漏洞,例如讓未加密的密碼保存在數(shù)據(jù)緩存文件中。事實(shí)上,去年八月,數(shù)字取證與安全公司viaForensic在報(bào)告中稱,在Android和iOS設(shè)備上運(yùn)行的消費(fèi)級(jí)應(yīng)用程序中有76%的程序?qū)⒚艽a以純文本格式保存。
“本地應(yīng)用程序?qū)⑻鄶?shù)據(jù)以未加密格式存儲(chǔ)在手機(jī)上,”他解釋說(shuō),即使這些密碼已經(jīng)被加密,現(xiàn)在攻擊者已經(jīng)擁有足夠的其他信息(例如社會(huì)安全號(hào)碼和信用卡信息)來(lái)套出你的密碼。
GoogleWallet就是這樣的例子,同樣也是在viaForensic公司的報(bào)告中,報(bào)告指出GoogleWallet將所有除信用卡信息外的敏感信息以純文本格式本地存儲(chǔ)在設(shè)備中。
最近也有一條這方面的新聞,某web分類供應(yīng)商zvelo公司的一名工程部員工輕松地破解了裝在智能手機(jī)上的GoogleWallet的PIN碼。
隨著企業(yè)推出越來(lái)越多涵蓋敏感信息和安裝支付系統(tǒng)(例如GoogleWallet)的應(yīng)用程序,他們需要對(duì)潛在風(fēng)險(xiǎn)進(jìn)行仔細(xì)考慮,Rorabaugh表示。
“不要因?yàn)槟阈枰M快推出一個(gè)應(yīng)用程序,就跳過(guò)了安全部分,應(yīng)該仔細(xì)檢查最容易出現(xiàn)風(fēng)險(xiǎn)的地方,”他說(shuō)道,他還鼓勵(lì)企業(yè)使用動(dòng)態(tài)和靜態(tài)測(cè)試技術(shù)通過(guò)內(nèi)部和外部測(cè)試團(tuán)隊(duì),同時(shí)測(cè)試移動(dòng)應(yīng)用程序的客戶端和服務(wù)部分。
