今年5 月�,谷歌在I/O大會(huì)上宣布�,Kotlin編程語言成為其 Android應(yīng)用程序開發(fā)人員的首選語言。
Kotlin 是一種面向現(xiàn)代多平臺(tái)應(yīng)用程序的編程語言�����,成為谷歌開發(fā)Android 應(yīng)用程序的首選語言后���,許多開發(fā)人員逐漸地從 Java 轉(zhuǎn)向Kotlin�����。根據(jù)最新的一項(xiàng)調(diào)查顯示�,有62% 的開發(fā)人員使用Kotlin 來構(gòu)建移動(dòng)應(yīng)用程序�,另有41% 的開發(fā)人員使用Kotlin 來構(gòu)建Web 后端項(xiàng)目。
而隨著Kotlin的出現(xiàn)��,越來越多的知名組織愈加重視移動(dòng)應(yīng)用程序的安全性�。最近由 DHS與NIST 聯(lián)合的一項(xiàng)關(guān)于移動(dòng)設(shè)備安全研究發(fā)現(xiàn),應(yīng)用程序中的漏洞通常是沒有遵循安全編碼引起����,這些漏洞會(huì)對(duì)用戶的數(shù)據(jù)造成某種危害。
對(duì)于使用Kotlin 開發(fā)人員來說��,熟悉這門語言并了解移動(dòng)應(yīng)用程序的安全編碼是非常重要的����。以下是在使用Kotlin時(shí)遇到的一些常見漏洞:
不安全數(shù)據(jù)存儲(chǔ)
Android生態(tài)系統(tǒng)為應(yīng)用程序提供了幾種存儲(chǔ)數(shù)據(jù)的方法。開發(fā)人員使用的存儲(chǔ)類型取決于幾點(diǎn):存儲(chǔ)的數(shù)據(jù)類型�����、數(shù)據(jù)的使用以及數(shù)據(jù)是否應(yīng)該保持私有或與其他應(yīng)用程序共享��。
而常見的編碼錯(cuò)誤是以明文存儲(chǔ)敏感信息。例如�,經(jīng)常在應(yīng)用程序使用的“Shared Preference” 或數(shù)據(jù)庫查找API 密碼、密碼和PII(Personally Identifiable Information)��,由于攻擊者能夠訪問應(yīng)用程序的數(shù)據(jù)庫(根設(shè)備����、應(yīng)用程序的備份等),從而檢索使用該應(yīng)用的其他用戶的憑據(jù)��,這類疏忽越來越多地導(dǎo)致重要數(shù)據(jù)丟失�����。
不安全通信
目前�����,大多數(shù)移動(dòng)應(yīng)用程序在某種程度上以client-server的方式交換數(shù)據(jù)��,當(dāng)進(jìn)行通信時(shí)�����,用戶數(shù)據(jù)就會(huì)在移動(dòng)運(yùn)營商網(wǎng)絡(luò)���、或者某些WiFi 網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間進(jìn)行傳輸���。正是這個(gè)過程,攻擊者就能利用其中的某個(gè)弱環(huán)節(jié)發(fā)起攻擊���。如果數(shù)據(jù)傳輸沒有使用 SSL/TLS 加密��,則攻擊者不僅能夠監(jiān)視以明文傳輸?shù)耐ㄐ艛?shù)據(jù)���,而且還能夠竊取交換的數(shù)據(jù)并執(zhí)行中間人攻擊。
為了防止不安全的通信���,必須始終把網(wǎng)絡(luò)層認(rèn)為是不安全的�����,并不斷確保移動(dòng)程序和后端服務(wù)器之間的所有通信都是加密的�。
不安全認(rèn)證
移動(dòng)設(shè)備中的輸入機(jī)制�,例如4-PIN 碼或者基于TouchID 等特性的身份驗(yàn)證,都會(huì)導(dǎo)致移動(dòng)應(yīng)用程序的身份驗(yàn)證不安全且容易遭受攻擊�。
除非有功能需求,否則移動(dòng)應(yīng)用程序不需要對(duì)其進(jìn)行實(shí)時(shí)身份驗(yàn)證的后端服務(wù)器。即使存在這樣的后端服務(wù)器��,用戶通常也不需要在任何時(shí)候都處于聯(lián)機(jī)狀態(tài)����。這給移動(dòng)應(yīng)用的身份驗(yàn)證帶來了巨大的挑戰(zhàn),每當(dāng)在本機(jī)進(jìn)行身份驗(yàn)證時(shí)����,就可以通過運(yùn)行時(shí)操作或修改二進(jìn)制文件來繞過已越獄設(shè)備上的身份驗(yàn)證。
不安全的身份驗(yàn)證不僅僅是猜出密碼��、默認(rèn)用戶帳戶或破壞數(shù)據(jù)�����。有時(shí)���,可以繞過身份驗(yàn)證機(jī)制��,系統(tǒng)無法識(shí)別用戶并記錄其(惡意)行為�。
代碼篡改
所謂的代碼篡改指的是:在設(shè)備上下載一個(gè)應(yīng)用程序后���,該應(yīng)用的代碼和數(shù)據(jù)是存于該設(shè)備的���。由于大多數(shù)應(yīng)用程序是公共的����,這導(dǎo)致攻擊可以進(jìn)行修改代碼���、操作內(nèi)存內(nèi)容、更改或替換系統(tǒng)API 或者修改應(yīng)用程序的數(shù)據(jù)和資源���。
為了防止代碼篡改���,重要的是移動(dòng)應(yīng)用程序能夠在運(yùn)行時(shí)檢測(cè)到代碼已被添加或更改。開發(fā)團(tuán)隊(duì)?wèi)?yīng)該做出相應(yīng)的行動(dòng)���,向服務(wù)器報(bào)告代碼沖突或者執(zhí)行關(guān)機(jī)��。
魔高一尺����,道高一丈����。技術(shù)總是不斷發(fā)展,未來仍會(huì)暴露出新的應(yīng)用程序安全性漏洞,通過警惕一些編碼錯(cuò)誤���,開發(fā)人員可以構(gòu)建更安全的Android 應(yīng)用����,避免掉入陷阱���。
利用技術(shù)總是在不斷發(fā)展;未來可能會(huì)基于可能暴露新的應(yīng)用程序篡改點(diǎn)的依賴關(guān)系發(fā)現(xiàn)新的漏洞����。通過了解這些編碼錯(cuò)誤�,開發(fā)人員可以構(gòu)建更安全的Android應(yīng)用程序,并躲開可能導(dǎo)致這些情況的陷阱����。
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息�����,并不代表本網(wǎng)贊同其觀點(diǎn)���。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)�����,對(duì)本文以及其中全部或者部分內(nèi)容����、文字的真實(shí)性、完整性�、及時(shí)性本站不作任何保證或承諾,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容���。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益���,請(qǐng)及時(shí)聯(lián)系我們�����,本站將會(huì)在24小時(shí)內(nèi)處理完畢����。
