今年 5 月,谷歌在 I/O 大會上宣布,Kotlin 編程語言成為其 Android 應用程式開發人員的首選語言,
Kotlin 是一種面向現代多平臺應用程式的編程語言,成為谷歌開發 Android 應用程式的首選語言后,許多開發人員逐漸地從 Java 轉向 Kotlin,根據最新的一項調查顯示,有 62% 的開發人員使用 Kotlin 來構建移動應用程式,另有 41% 的開發人員使用 Kotlin 來構建 Web 后端專案,
而隨著 Kotlin 的出現,越來越多的知名組織愈加重視移動應用程式的安全性,最近由 DHS 與 NIST 聯合的一項關于移動設備安全研究發現,應用程式中的漏洞通常是沒有遵循安全編碼引起,這些漏洞會對用戶的資料造成某種危害,
對于使用 Kotlin 開發人員來說,熟悉這門語言并了解移動應用程式的安全編碼是非常重要的,以下是在使用 Kotlin 時遇到的一些常見漏洞: 不安全資料存盤 Android 生態系統為應用程式提供了幾種存盤資料的方法,開發人員使用的存盤型別取決于幾點:存盤的資料型別、資料的使用以及資料是否應該保持私有或與其他應用程式共享, 而常見的編碼錯誤是以明文存盤敏感資訊,例如,經常在應用程式使用的 “Shared Preference” 或資料庫查找 API 密碼、密碼和 PII(Personally Identifiable Information),由于攻擊者能夠訪問應用程式的資料庫(根設備、應用程式的備份等),從而檢索使用該應用的其他用戶的憑據,這類疏忽越來越多地導致重要資料丟失,
不安全通信 目前,大多數移動應用程式在某種程度上以 client-server 的方式交換資料,當進行通信時,用戶資料就會在移動運營商網路、或者某些 WiFi 網路和互聯網之間進行傳輸,正是這個程序,攻擊者就能利用其中的某個榷訓節發起攻擊,如果資料傳輸沒有使用 SSL/TLS 加密,則攻擊者不僅能夠監視以明文傳輸的通信資料,而且還能夠竊取交換的資料并執行中間人攻擊, 為了防止不安全的通信,必須始終把網路層認為是不安全的,并不斷確保移動程式和后端服務器之間的所有通信都是加密的,
不安全認證
移動設備中的輸入機制,例如 4-PIN 碼或者基于 TouchID 等特性的身份驗證,都會導致移動應用程式的身份驗證不安全且容易遭受攻擊, 除非有功能需求,否則移動應用程式不需要對其進行實時身份驗證的后端服務器,即使存在這樣的后端服務器,用戶通常也不需要在任何時候都處于聯機狀態,這給移動應用的身份驗證帶來了巨大的挑戰,每當在本機進行身份驗證時,就可以通過運行時操作或修改二進制檔案來繞過已越獄設備上的身份驗證, 不安全的身份驗證不僅僅是猜出密碼、默認用戶帳戶或破壞資料,有時,可以繞過身份驗證機制,系統無法識別用戶并記錄其(惡意)行為,
代碼篡改
所謂的代碼篡改指的是:在設備上下載一個應用程式后,該應用的代碼和資料是存于該設備的,由于大多數應用程式是公共的,這導致攻擊可以進行修改代碼、操作記憶體內容、更改或替換系統 API 或者修改應用程式的資料和資源, 為了防止代碼篡改,重要的是移動應用程式能夠在運行時檢測到代碼已被添加或更改,開發團隊應該做出相應的行動,向服務器報告代碼沖突或者執行關機,
魔高一尺,道高一丈,技術總是不斷發展,未來仍會暴露出新的應用程式安全性漏洞,通過警惕一些編碼錯誤,開發人員可以構建更安全的 Android 應用,避免掉入陷阱, 利用技術總是在不斷發展;未來可能會基于可能暴露新的應用程式篡改點的依賴關系發現新的漏洞,通過了解這些編碼錯誤,開發人員可以構建更安全的 Android 應用程式,并躲開可能導致這些情況的陷阱,
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/45630.html
標籤:Android
上一篇:EditText問題