11月15日,由北京移动杉德畅刷产业联盟、杉德畅刷官网联合主办的2018第三届中国移动杉德畅刷安全大会在深圳顺利召开,本次大会主题为《科技赋能,数说安全》。梆梆安全高级安全顾问赵千里应邀出席,并以《杉德畅刷风控下的终端应用风险管控》为主题发表演讲,解析了目前终端应用在运行中可能出现的风险问题。
移动安全威胁的五个阶段
赵千里认为,移动安全威胁的演进主要是五个阶段:
阶段一是技术先天性缺陷,会出现反编译、篡改、二次打包、钓鱼应用等威胁;
阶段二是业务逻辑存在缺陷,开发人员在开发过程中引入了业务逻辑漏洞,反编译成功后可以看到源码,源码中的脆弱点就在于开发过程中“重业务,轻安全”造成的安全考虑不足,存在大量的业务逻辑漏洞可以被攻击者利用;
阶段三是操作系统存在漏洞,移动端操作系统受存储容量,计算能力,包括诞生的时间等综合因素来看,目前远没有桌面端的操作系统具备较完备的安全机制,安全机制不健全会导致应用在运行过程中被攻击;
阶段四是运行时的动态攻击,操作系统的安全架构不完善就造成运行过程中被动态调试,如模拟器、注入攻击、调试行为、设备篡改、位置欺诈等运行时的动态攻击。
阶段五是业务欺诈,随业务的变化,攻击者的目的也日益明确,虚假注册、批量开卡、批量开户、薅羊毛、刷单等业务欺诈及黑产行为成为了主要的安全威胁。
在基础安全防范措施完善之后,目前移动安全仍然存在大量的业务安全威胁,比如:如何保障账户的安全?如何防止业务的欺诈?根据主管部门和安全法的要求,如何防止数据泄露?
终端应用运行的风险概述
除了解析了移动安全威胁的演进过程,赵千里还对终端应用运行的风险进行了总结,主要是四个方面:
1、终端设备不可信:终端应用可能运行在模拟器、设备信息造假等非可信设备上。
2、运行环境不可信:终端应用可能运行在存在病毒木马的非可行操作系统上,应用安装包为非官方发布的合法安装包。
3、操作手段不可信:终端用户可能存在隐藏真实地理位置,对应用进行批量机器操作等非正常的使用手段。
4、本地逻辑不可信:终端黑客可能使用注入、调试等多种手段绕过本地的业务控制逻辑。
根据此情况,梆梆安全也推出了集感知、阻断、溯源于一身的移动威胁感知平台,让杉德畅刷机构能够通过主动防御的方式,防范各种风险。
转载请注明:杉德畅刷官网 » 梆梆安全赵千里:移动安全威胁的五个阶段