第25章モバイルアプリケーションのセキュリティ要件分析とセキュリティ保護エンジニアリング
モバイルアプリケーションのセキュリティの脅威と要件の分析
-
モバイルアプリケーションシステムの構成
- モバイルアプリケーション:APP
- 通信ネットワーク:無線ネットワーク、移動体通信ネットワークおよびインターネット
- アプリケーションサーバー:アプリデータの処理を担当する関連サーバー構造
-
モバイルアプリケーションのセキュリティ分析
- モバイルオペレーティングシステムプラットフォームのセキュリティの脅威:モバイルアプリケーションのセキュリティは、モバイルオペレーティングシステムに依存します
- ワイヤレスネットワーク攻撃:通信コンテンツの監視、偽の基地局、ネットワークドメイン名の詐欺、フィッシング攻撃など。
- 悪質なコード
- モバイルアプリケーションコードのリバースエンジニアリング
- モバイルアプリケーションの違法な改ざん
Androidシステムのセキュリティと保護メカニズム
-
Androidシステムセキュリティシステム
-
Linuxカーネル層、システム操作層、アプリケーションフレームワーク層、アプリケーションプログラム層に分割されたオープンソースのモバイル端末オペレーティングシステム
-
一般的な脅威フォーム:APKの再パッケージ化、更新攻撃、誘惑のダウンロード、特権昇格攻撃、リモートコントロール、悪意のある支払い、機密情報の収集
-
-
Androidシステムのセキュリティメカニズム
- 許可宣言メカニズム
- アプリケーションの署名メカニズム
- サンドボックスメカニズム:異なるアプリケーションとプロセス間の分離を実現する
- ネットワーク通信の暗号化
- カーネルセキュリティメカニズム
iOSシステムのセキュリティと保護メカニズム
-
iOSシステムセキュリティシステム
-
に分け:
- コアオペレーティングシステムレイヤー:ローカル認証、セキュリティ、外部アクセス、システムなどのサービスを提供します
- コアサービスレイヤー:アプリケーションに必要な基本的なシステムサービスを提供します
- メディアレイヤー:アプリケーションで視聴覚技術を提供します
- タッチ可能なレイヤー:タッチインタラクティブ操作
-
-
iOSシステムのセキュリティメカニズム
- セーフブートチェーン:iOSプラットフォームのセキュリティは、ブートチェーンのセキュリティに依存します
- データ保護
- データの暗号化と保護のメカニズム:必須の暗号化
- アドレス空間のレイアウトをランダム化する
- コード署名
- サンドボックス
モバイルアプリケーションのセキュリティ保護メカニズムと技術ソリューション
- モバイルアプリのセキュリティリスク
- リバースエンジニアリングリスク
- 改ざんリスク
- データ盗難のリスク
- モバイルアプリのセキュリティ強化
- アンチリバース、アンチデバッグ、アンチタンパー
- データ漏えい防止、送信データ保護
- モバイルアプリのセキュリティ監視
- ID認証メカニズムの監視
- 通信セッションのセキュリティメカニズムの検出
- 機密情報保護メカニズムの検出
- ログセキュリティポリシーの検出
- トランザクションプロセスのセキュリティメカニズムの検出
- サーバー認証メカニズムの検出
- アクセス制御メカニズムの検出
- データの改ざん耐性の検出
- アンチSQLインジェクション機能の検出
- フィッシング対策能力の検出
- アプリのセキュリティ脆弱性の検出
モバイルアプリケーションセキュリティの包括的なアプリケーションのケース分析
-
金融モバイルセキュリティ
- モバイルアプリのセキュリティ開発管理を実装する
- モバイルアプリネットワーク通信コンテンツセキュリティ暗号化保護
- モバイルアプリのセキュリティ強化
- モバイルアプリのセキュリティ評価
- モバイルアプリのセキュリティ監視
-
オペレーターのモバイルセキュリティ
- 危険:
- アカウントとパスワードの盗難
- エクスプロイト
- 悪質なコード
- データの盗難
- 悪意のあるボリュームと注文
- サービス拒否攻撃
- 請求SDKクラッキング
- ソーシャルワーク図書館詐欺
- 危険:
-
モバイルオフィスのセキュリティ