Meningkatkan Keamanan Mobile Apps Anda
Meningkatkan Keamanan Mobile Apps AndaPengantar Mobile Security
Aplikasi mobile modern berjalan pada perangkat mobile yang memiliki fungsi dari desktop atau laptop menjalankan sistem operasi umum tujuan. Dalam hal ini banyak risiko yang mirip dengan spyware tradisional, perangkat lunak Trojan, dan aplikasi insecurely dirancang. Namun, perangkat mobile tidak hanya komputer kecil. Perangkat mobile yang dirancang di sekitar fungsi pribadi dan komunikasi yang membuat aplikasi mobile dan risiko keamanan mobile yang berbeda dari risiko atas komputasi tradisional.Mobile App dan Risiko Kode Mobile Security
Ada 2 kategori utama risiko keamanan kode mobile. Fungsi kategori berbahaya adalah daftar yang tidak diinginkan dan berbahaya perilaku kode mobile yang diam-diam ditempatkan dalam sebuah aplikasi Trojan yang pengguna tertipu untuk menginstal. Pengguna berpikir mereka menginstal permainan atau utilitas dan bukannya mendapatkan spyware tersembunyi, phishing UI, atau panggilan premium yang tidak sah.
A. berbahaya Fungsi
1. Kegiatan pemantauan dan pengambilan data
2. Panggilan tidak sah, SMS, dan pembayaran
3. Konektivitas jaringan yang tidak sah (exfiltration atau perintah & kontrol)
4. Peniruan UI
5. Sistem modifikasi (rootkit, APN proksi config)
6. Waktu bom logika atau
Kategori kerentanan keamanan mobile kesalahan dalam desain atau pelaksanaan yang mengekspos data perangkat mobile untuk intersepsi dan pengambilan oleh penyerang. Kerentanan kode keamanan ponsel juga dapat mengekspos perangkat mobile atau aplikasi awan digunakan dari perangkat untuk akses yang tidak sah.
B. Kerentanan
1. Data sensitif kebocoran (saluran sengaja atau sisi)
2. Penyimpanan data sensitif yang tidak aman
3. Transmisi data sensitif yang tidak aman
4. Hardcoded password / kunci
Stack Mobile Security Kode
Meningkatkan tingkat adopsi smartphone ditambah dengan pertumbuhan yang cepat dalam jumlah aplikasi smartphone telah menciptakan skenario dimana informasi pribadi dan sensitif sedang didorong ke perimeter perangkat baru pada tingkat yang mengkhawatirkan. Perangkat mobile smartphone dengan cepat menjadi mana-mana. Meskipun ada banyak tumpang tindih dengan model sistem operasi umum, kode model perangkat keamanan mobile memiliki beberapa poin yang berbeda diferensiasi.Tumpukan kode keamanan mobile dapat dipecah menjadi empat lapisan yang berbeda. Lapisan terendah dari stack adalah lapisan infrastruktur, diikuti ke atas oleh sistem, perangkat keras operasi dan lapisan aplikasi. Tumpukan lapisan ini mendefinisikan keamanan masing-masing bagian terpisah dari model keamanan dari sebuah perangkat smartphone atau mobile.
Stack Mobile Security KodeSetiap lapisan dari model Kode Keamanan Mobile bertanggung jawab atas keamanan dari komponen didefinisikan dan tidak lebih. Lapisan atas dari stack bergantung pada semua lapisan yang lebih rendah untuk memastikan bahwa komponen mereka tepat aman. Model abstraksi berbasis memungkinkan desain mekanisme keamanan tertentu mobile untuk fokus pada area tertentu tunggal perhatian tanpa pengeluaran sumber daya yang diperlukan untuk menganalisis semua lapisan yang mendukung lokasi saat ini di dalam stack.
Aplikasi mobile modern berjalan pada perangkat mobile yang memiliki fungsi dari desktop atau laptop menjalankan sistem operasi umum tujuan. Dalam hal ini banyak risiko yang mirip dengan spyware tradisional, perangkat lunak Trojan, dan aplikasi insecurely dirancang. Namun, perangkat mobile tidak hanya komputer kecil. Perangkat mobile yang dirancang di sekitar fungsi pribadi dan komunikasi yang membuat aplikasi mobile dan risiko keamanan mobile yang berbeda dari risiko atas komputasi tradisional.Mobile App dan Risiko Kode Mobile Security
Ada 2 kategori utama risiko keamanan kode mobile. Fungsi kategori berbahaya adalah daftar yang tidak diinginkan dan berbahaya perilaku kode mobile yang diam-diam ditempatkan dalam sebuah aplikasi Trojan yang pengguna tertipu untuk menginstal. Pengguna berpikir mereka menginstal permainan atau utilitas dan bukannya mendapatkan spyware tersembunyi, phishing UI, atau panggilan premium yang tidak sah.
A. berbahaya Fungsi
1. Kegiatan pemantauan dan pengambilan data
2. Panggilan tidak sah, SMS, dan pembayaran
3. Konektivitas jaringan yang tidak sah (exfiltration atau perintah & kontrol)
4. Peniruan UI
5. Sistem modifikasi (rootkit, APN proksi config)
6. Waktu bom logika atau
Kategori kerentanan keamanan mobile kesalahan dalam desain atau pelaksanaan yang mengekspos data perangkat mobile untuk intersepsi dan pengambilan oleh penyerang. Kerentanan kode keamanan ponsel juga dapat mengekspos perangkat mobile atau aplikasi awan digunakan dari perangkat untuk akses yang tidak sah.
B. Kerentanan
1. Data sensitif kebocoran (saluran sengaja atau sisi)
2. Penyimpanan data sensitif yang tidak aman
3. Transmisi data sensitif yang tidak aman
4. Hardcoded password / kunci
Stack Mobile Security Kode
Meningkatkan tingkat adopsi smartphone ditambah dengan pertumbuhan yang cepat dalam jumlah aplikasi smartphone telah menciptakan skenario dimana informasi pribadi dan sensitif sedang didorong ke perimeter perangkat baru pada tingkat yang mengkhawatirkan. Perangkat mobile smartphone dengan cepat menjadi mana-mana. Meskipun ada banyak tumpang tindih dengan model sistem operasi umum, kode model perangkat keamanan mobile memiliki beberapa poin yang berbeda diferensiasi.Tumpukan kode keamanan mobile dapat dipecah menjadi empat lapisan yang berbeda. Lapisan terendah dari stack adalah lapisan infrastruktur, diikuti ke atas oleh sistem, perangkat keras operasi dan lapisan aplikasi. Tumpukan lapisan ini mendefinisikan keamanan masing-masing bagian terpisah dari model keamanan dari sebuah perangkat smartphone atau mobile.
Stack Mobile Security KodeSetiap lapisan dari model Kode Keamanan Mobile bertanggung jawab atas keamanan dari komponen didefinisikan dan tidak lebih. Lapisan atas dari stack bergantung pada semua lapisan yang lebih rendah untuk memastikan bahwa komponen mereka tepat aman. Model abstraksi berbasis memungkinkan desain mekanisme keamanan tertentu mobile untuk fokus pada area tertentu tunggal perhatian tanpa pengeluaran sumber daya yang diperlukan untuk menganalisis semua lapisan yang mendukung lokasi saat ini di dalam stack.
Mobile Security StackMobile Security - Lapisan Infrastruktur
Lapisan infrastruktur adalah lapisan paling mendukung terendah dan dengan demikian dari stack kode keamanan ponsel. Lapisan ini adalah dasar yang mendukung semua tingkatan lain dari model. Mayoritas komponen fungsional pada lapisan ini dimiliki dan dioperasikan oleh operator selular atau penyedia infrastruktur, namun integrasi ke handset terjadi sebagai data yang dikirim dari tingkat atas.Seluler suara dan data operator mengoperasikan infrastruktur yang membawa semua data dan komunikasi suara dari titik ke titik titik akhir. Keamanan komponen pada tingkat ini biasanya meliputi protokol yang digunakan oleh operator dan penyedia infrastruktur sendiri. Contoh protokol tersebut termasuk kode divisi protokol multiple access (CDMA), sistem global untuk komunikasi mobile (GSM), secara global posisi sistem (GPS), sistem pesan singkat (SMS), dan pesan multimedia sistem (MMS). Karena sifat dasar keamanan yang rendah ini tingkat tertentu, kekurangan atau kerentanan ditemukan pada lapisan umumnya efektif di beberapa platform, beberapa operator, dan penyedia handset beberapa ditetapkan.Mobile Security - Hardware Lapisan
Ketika kita bergerak sampai stack untuk tingkat kedua tumpukan kode keamanan ponsel, kita bergerak ke dalam wilayah unit fisik yang biasanya di bawah kendali langsung dari pengguna akhir. Lapisan hardware diidentifikasi oleh peralatan pengguna akhir premis individu, umumnya dalam bentuk perangkat smartphone atau tablet gaya ponsel. Lapisan hardware dapat diakses untuk sistem operasi yang memungkinkan untuk kontrol langsung dari komponen fisik dari unit. Perangkat keras ini umumnya disebut "firmware" dan ditingkatkan oleh produsen handset fisik dan kadang-kadang disampaikan oleh proxy melalui operator telepon. Kelemahan keamanan atau kerentanan ditemukan pada lapisan ini biasanya mempengaruhi pengguna akhir semua yang menggunakan bagian tertentu dari perangkat keras atau komponen perangkat keras individu. Jika cacat hardware ditemukan dalam perangkat produsen tunggal, lebih dari mungkin bahwa revisi semua perangkat keras menggunakan bahwa desain yang sama dan / atau chip akan dilakukan juga.Mobile Security - Lapisan Sistem Operasi
Tier ketiga dalam tumpukan kode keamanan mobile adalah lapisan sistem operasi. Lapisan ini sesuai dengan perangkat lunak yang berjalan pada perangkat yang memungkinkan komunikasi antara hardware dan tingkatan aplikasi. Sistem operasi secara berkala diperbarui dengan tambahan fitur, patch, dan perbaikan keamanan yang mungkin atau tidak mungkin bertepatan dengan patch dibuat untuk firmware oleh produsen handset fisik. Sistem operasi menyediakan akses ke sumber daya melalui penerbitan antarmuka pemrograman aplikasi. Sumber daya ini tersedia untuk dikonsumsi oleh lapisan aplikasi karena hanya lapisan yang lebih tinggi dalam stack daripada sistem operasi itu sendiri. Bersamaan, sistem operasi berkomunikasi dengan perangkat keras / firmware untuk menjalankan proses dan lulus data ke dan dari perangkat.Kelemahan sistem operasi adalah jenis cacat yang sangat umum dan saat ini cenderung menjadi target pilihan untuk penyerang yang ingin memiliki dampak yang tinggi. Jika ditemukan cacat operasi, basis menginstal seluruh bahwa revisi sistem operasi tertentu kemungkinan akan rentan. Hal ini pada lapisan ini, dan di atas, di mana perangkat lunak adalah mekanisme penegakan utama untuk keamanan. Khusus karena fakta bahwa perangkat lunak adalah diandalkan, sistem operasi, dan lapisan aplikasi di atas, adalah lokasi yang paling umum di mana kelemahan keamanan ditemukan.Mobile Security - Lapisan Aplikasi
Aplikasi lapis berada di puncak tumpukan keamanan mobile dan merupakan lapisan bahwa pengguna akhir langsung antarmuka dengan. Lapisan aplikasi diidentifikasi oleh proses yang berjalan yang menggunakan antarmuka pemrograman aplikasi yang disediakan oleh lapisan sistem operasi sebagai entry point ke dalam sisa stack.Kelemahan lapisan keamanan aplikasi umumnya hasil dari coding kelemahan dalam aplikasi yang baik dikirim dengan atau diinstal ke perangkat mobile setelah penyebaran. Kekurangan ini datang dalam kelas yang mirip dengan area komputasi personal. Buffer overflows, penyimpanan aman data sensitif, algoritma kriptografi yang tidak benar, password hardcoded, dan aplikasi backdoored hanya satu set sampel kelas cacat lapisan aplikasi. Hasil eksploitasi kelemahan keamanan aplikasi layer dapat berkisar dari hak istimewa sistem operasi diangkat exfiltration data sensitif.Bagaimana untuk menguji kode keamanan ponsel
Ketika menganalisis perangkat individu untuk implikasi keamanan, orang harus memperhitungkan setiap lapisan tumpukan kode keamanan ponsel dan menentukan efektivitas mekanisme keamanan yang berada di tempat. Pada setiap lapisan menentukan apa, jika ada, keamanan mekanisme dan mitigasi produsen telah dilaksanakan dan jika mereka mekanisme yang cukup untuk jenis data Anda berencana untuk menyimpan dan mengakses pada perangkat.Lebih Panduan Ancaman Keamanan GRATIS dari Veracode
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar