移动安全:App开发者该如何保护安卓应用

TMO Group

在2014年,移动应用程序的使用占据了在移动客户端的百分之八十六的时间,增长了6%.由于用户行为的变化,安卓联盟正面临着以下主要的移动安全挑战:

 

企业移动设备和BYOD管理

 

在工作场所应用安装的管理和控制

 

保护敏感数据和关键信息,从网上欺诈和泄漏

 

设备所有权:用户与其他组织内的角色

 

专注于移动设备和应用程序的安全漏洞和风险,我们可以列出以下关键威胁:

 

恶意软件,即恶意软件(通常是模块化)针对特定的业务需求。例子:密码破解,加密货币银行模块,模块,插件模块,基于地理位置的发射器

images

新一代病毒和蠕虫瞄准物联网(物联网)功能的设备。例子:赛门铁克发现Linux。Darlloz能够攻击一个范围内的小型设备,比如家用路由器,机顶盒和网络摄像头,以及传统的个人电脑和移动设备;变色龙,一种感染Wi-Fi网络而移动通过人口稠密地区的病毒

 

移动设备泄露(通过越狱等)

 

基于网络的攻击

 

网络和系统滥用,即恶意加密与数据修改

 

资源和服务的可用性虐待,即垃圾邮件僵尸网络,短信和电话

 

数据丢失和完整性

 

不安全网络

 

对企业网络的后门

 

社会工程攻击,即网络钓鱼(例如,只有24%的受访员工说,他们“从来没有”接受来自陌生人的邀请,在社交媒体网站上,和39%承认打开电子邮件,他们怀疑可能是欺诈或包含恶意软件)

 

因此,有效的移动安全的关键障碍是什么?

image

在一个全球性的商业社会中缺乏明确的市场定义和了解(例如,只有39%的员工接受调查时,表示一年得到持续的安全意识培训或咨询超过一次)

 

由于缺乏对现代安全漏洞的理解,导致结果就是,企业领导层缺乏购买的目的性

 

传统的,而不是移动的重点,设备和网络安全的前景

 

以设备为中心,以用户为中心的方法

 

缺乏安全标准,在创新的新兴市场,如可穿戴技术和物联网

 

谈到移动设备和应用程序的安全性,我已经概述了以下方法:避免/减少威胁和风险:

ANDROID

传统的访问控制,即保护设备的密码和空闲时间屏幕锁定

 

应用出处,即用户决定是否他们要使用基于出版商的身份的应用程序

 

加密,即在这样一种方式,只有授权方可以访问它的编码数据

 

隔离,即应用程序的能力,在权限范围内访问敏感的数据和系统的限制

 

基于权限的访问控制,即授予权限,然后限制应用程序在权限范围内访问设备/系统的能力