謹防自動化腳本引發的移動安全問題

    在之前的文章里，移動安全作家Evan Schuman介紹了避免移動安全問題6條建議中的前三條，以下是第四五六條建議。

　　一種最為常見的移動應用程序安全技術是采用旨在識別常見安全問題的自動化腳本或程序。該方法對小型企業很有吸引力，因為它即快捷又相對價格低廉。但不幸的是，自動化腳本卻識別不了即使現今最基本移動應用程序日益增強的復雜性所造成的安全問題。正因為如此，小企業應該考慮聘請一位移動應用程序安全專家，他既不是移動應用程序開發專家，也不同于安全專家，甚至網絡安全專家。

　　“移動應用程序測試不同于任何其他類型的測試”，在惠普Fortify部門負責移動應用程序測試流程的Daniel Miessler表示。“你必須要考慮到手機客戶端，網絡以及服務器各個方面，這些地方都存在有大量使你遺留數據瀏覽路徑記錄的機會。 ”

　　也不要認為這只是個小企業才面臨的安全漏洞問題。最新的受害者是誰呢?是美國以營業額計算最大的公司沃爾瑪。沃爾瑪的移動應用程序收集并保存內部引用信息，開發人員姓名，地理位置歷史記錄甚至密碼 – 對此沃爾瑪悉數不知，盡管它進行了廣泛的內部測試，當然其中大部分測試是通過自動化腳本完成的。直到一名移動安全測試人員破解了他下載到自己iPhone上的沃爾瑪應用程序，其安全漏洞才最終被發現。

　　認證信息系統安全專家以及全球信息保障認證滲透安全測試員Daniel Wood，是一名長期研究移動應用程序安全的研究員。自動掃描和分析可以捕獲許多安全缺陷和漏洞，Wood說，但是企業通過自動方法只能看到所面臨攻擊面的一部分。“擁有真正編程能力和安全性測試技能，并能夠從編程方面 - 源代碼 – 以及應用程序業務邏輯雙方面檢測應用程序的測試人員，無可或缺。”Wood說。

　　一個自動掃描有局限性的例子是識別跨站點腳本( XSS)漏洞，或當攻擊者偽裝惡意編碼，并將其置入看起來可信任的鏈接時。“手工測試可能能夠通過應用程序儲存文檔，或為允許用戶在瀏覽器中注釋PDF文檔而使用某個特別功能的方式，識別出XSS漏洞”，Wood說。 “如果一個應用程序有此功能，安全測試人員(或小偷)就可以在瀏覽器中彈出XSS漏洞的注釋中創建一個惡意鏈接，以竊取受害者的會話內容。而自動化掃描無法理解做這種測試所包含的邏輯。

　　建議4 ：腳本適用于電影，卻不適用于移動應用程序安全性。當涉及到移動應用程序安全性測試時，還是要以人為本。

　　記住密碼，舍棄自動填充

　　即便你只是收集最不敏感的信息，或是提供幾乎沒一點真實性的定制服務，移動專家也要強調密碼的重要性。為什么呢?是為了提供一個能夠密切關注誰在您的網站上做什么的簡單而準確的方法。如果顧客一再打開應用程序上的某個產品，這種行為很可能會是有用的數據。

　　為了使所有與你公司的交互行為變得盡量輕松，企業可能會希望自己的移動應用程序記住 - 或自動填充 - 客戶的密碼，這樣客戶就不必在每一個應用程序啟動時重新鍵入。美國幾個最大品牌移動應用程序出現的安全問題則提出了一條逆勢忠告：抵制這種誘惑。為了保護客戶，請放棄這一便利。

　　盡管并不缺少允許保存當前移動設備上密碼的安全方式，但有問題的高知名度應用程序也不少。星巴克保存密碼卻不小心以所有人都看得到的純文本格式進行存儲。達美航空很聰明的加密了客戶的保留密碼。但不幸的是，達美航空卻以明文形式保存加密密鑰。

　　IT服務公司Research Into Internet Systems LLC創始人兼總裁，同時是Android Best Practices一書作者的Godfrey Nolan，發現了達美航空的這一安全漏洞。

　　“如果你的應用程序上有你不希望別人看到的任何敏感信息，那么請確保您的用戶必須輸入用戶名和密碼進行登錄”，Nolan說。“他們必須在每一次程序打開時輸入密碼。如果您的應用程序并非如此，則其密碼很可能被保存在本地，那這絕對是一個極其壞的主意。”

　　建議5 ：保存客戶密碼的風險大于便利。對于絕大多數由小企業提供的應用程序來說，要求客戶在應用程序啟動是輸入密碼都不會是一個大問題。放棄這層安全保護會構成危險。請記住，單用一個密碼就可以在網上完全模仿你的客戶。

　　把第三方交互當作有無窮陷阱的險惡之地

　　現在最大的移動應用程序安全問題并不是公司的開發者對應用程序做了什么，也不是什么第三方程序(合并在公司移動應用程序以內)做了什么。而是意外交互所造成那些的安全漏洞。讓我們回到了星巴克的例子，零售連鎖企業以明文保留客戶密碼的問題不在于它的程序。該數據被流行崩潰分析程序Crashlytics抓取了(其也被沃爾瑪使用 - 現由Twitter所有) 。

　　星巴克表示，密碼保留不是它的錯，因為零售商本身沒有保留數據; 是Crashlytics干的。 Crashlytics的人說，這也是不是他們的錯，因為他們為客戶提供如何調配程序和設置的明確指示。結果最終發現還是星巴克的錯，因為沃爾瑪部署了同樣的Crashlytics程序，但卻不允許其保存密碼。

　　建議6 ：測試，測試，再測試。鑒于小企業緊張的IT預算，有必要重新利用現有技術功能，以提供也能被移動應用程序使用的標準功能。但請記住，這些程序沒有經過相互合作測試，也沒有與你的移動應用程序進行交互測試。在承擔伴隨移動應用程序而來的問題之前，自己測試以發現任何的問題。不要等著你身后的網絡小偷幫你發現問題。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：謹防自動化腳本引發的移動安全問題

本文網址：http://m.hanmeixuan.com/html/consultation/10839413835.html