今年5 月����,谷歌在I/O大會(huì)上宣布���,Kotlin編程語(yǔ)言成為其 Android應(yīng)用程序開(kāi)發(fā)人員的首選語(yǔ)言。
Kotlin 是一種面向現(xiàn)代多平臺(tái)應(yīng)用程序的編程語(yǔ)言�����,成為谷歌開(kāi)發(fā)Android 應(yīng)用程序的首選語(yǔ)言后�,許多開(kāi)發(fā)人員逐漸地從 Java 轉(zhuǎn)向Kotlin。根據(jù)最新的一項(xiàng)調(diào)查顯示���,有62% 的開(kāi)發(fā)人員使用Kotlin 來(lái)構(gòu)建移動(dòng)應(yīng)用程序�����,另有41% 的開(kāi)發(fā)人員使用Kotlin 來(lái)構(gòu)建Web 后端項(xiàng)目。
而隨著Kotlin的出現(xiàn)����,越來(lái)越多的知名組織愈加重視移動(dòng)應(yīng)用程序的安全性。最近由 DHS與NIST 聯(lián)合的一項(xiàng)關(guān)于移動(dòng)設(shè)備安全研究發(fā)現(xiàn)����,應(yīng)用程序中的漏洞通常是沒(méi)有遵循安全編碼引起,這些漏洞會(huì)對(duì)用戶(hù)的數(shù)據(jù)造成某種危害���。
對(duì)于使用Kotlin 開(kāi)發(fā)人員來(lái)說(shuō)����,熟悉這門(mén)語(yǔ)言并了解移動(dòng)應(yīng)用程序的安全編碼是非常重要的。以下是在使用Kotlin時(shí)遇到的一些常見(jiàn)漏洞:
不安全數(shù)據(jù)存儲(chǔ)
Android生態(tài)系統(tǒng)為應(yīng)用程序提供了幾種存儲(chǔ)數(shù)據(jù)的方法���。開(kāi)發(fā)人員使用的存儲(chǔ)類(lèi)型取決于幾點(diǎn):存儲(chǔ)的數(shù)據(jù)類(lèi)型�、數(shù)據(jù)的使用以及數(shù)據(jù)是否應(yīng)該保持私有或與其他應(yīng)用程序共享���。
而常見(jiàn)的編碼錯(cuò)誤是以明文存儲(chǔ)敏感信息��。例如�,經(jīng)常在應(yīng)用程序使用的“Shared Preference” 或數(shù)據(jù)庫(kù)查找API 密碼�����、密碼和PII(Personally Identifiable Information)��,由于攻擊者能夠訪問(wèn)應(yīng)用程序的數(shù)據(jù)庫(kù)(根設(shè)備����、應(yīng)用程序的備份等),從而檢索使用該應(yīng)用的其他用戶(hù)的憑據(jù),這類(lèi)疏忽越來(lái)越多地導(dǎo)致重要數(shù)據(jù)丟失�����。
不安全通信
目前�����,大多數(shù)移動(dòng)應(yīng)用程序在某種程度上以client-server的方式交換數(shù)據(jù)����,當(dāng)進(jìn)行通信時(shí),用戶(hù)數(shù)據(jù)就會(huì)在移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)�����、或者某些WiFi 網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間進(jìn)行傳輸�����。正是這個(gè)過(guò)程�,攻擊者就能利用其中的某個(gè)弱環(huán)節(jié)發(fā)起攻擊�����。如果數(shù)據(jù)傳輸沒(méi)有使用 SSL/TLS 加密,則攻擊者不僅能夠監(jiān)視以明文傳輸?shù)耐ㄐ艛?shù)據(jù)�����,而且還能夠竊取交換的數(shù)據(jù)并執(zhí)行中間人攻擊��。
為了防止不安全的通信�,必須始終把網(wǎng)絡(luò)層認(rèn)為是不安全的,并不斷確保移動(dòng)程序和后端服務(wù)器之間的所有通信都是加密的��。
不安全認(rèn)證
移動(dòng)設(shè)備中的輸入機(jī)制�����,例如4-PIN 碼或者基于TouchID 等特性的身份驗(yàn)證��,都會(huì)導(dǎo)致移動(dòng)應(yīng)用程序的身份驗(yàn)證不安全且容易遭受攻擊��。
除非有功能需求���,否則移動(dòng)應(yīng)用程序不需要對(duì)其進(jìn)行實(shí)時(shí)身份驗(yàn)證的后端服務(wù)器�。即使存在這樣的后端服務(wù)器�����,用戶(hù)通常也不需要在任何時(shí)候都處于聯(lián)機(jī)狀態(tài)。這給移動(dòng)應(yīng)用的身份驗(yàn)證帶來(lái)了巨大的挑戰(zhàn)�����,每當(dāng)在本機(jī)進(jìn)行身份驗(yàn)證時(shí)��,就可以通過(guò)運(yùn)行時(shí)操作或修改二進(jìn)制文件來(lái)繞過(guò)已越獄設(shè)備上的身份驗(yàn)證�。
不安全的身份驗(yàn)證不僅僅是猜出密碼、默認(rèn)用戶(hù)帳戶(hù)或破壞數(shù)據(jù)�。有時(shí),可以繞過(guò)身份驗(yàn)證機(jī)制��,系統(tǒng)無(wú)法識(shí)別用戶(hù)并記錄其(惡意)行為��。
代碼篡改
所謂的代碼篡改指的是:在設(shè)備上下載一個(gè)應(yīng)用程序后�����,該應(yīng)用的代碼和數(shù)據(jù)是存于該設(shè)備的�。由于大多數(shù)應(yīng)用程序是公共的,這導(dǎo)致攻擊可以進(jìn)行修改代碼�、操作內(nèi)存內(nèi)容、更改或替換系統(tǒng)API 或者修改應(yīng)用程序的數(shù)據(jù)和資源���。
為了防止代碼篡改,重要的是移動(dòng)應(yīng)用程序能夠在運(yùn)行時(shí)檢測(cè)到代碼已被添加或更改。開(kāi)發(fā)團(tuán)隊(duì)?wèi)?yīng)該做出相應(yīng)的行動(dòng)���,向服務(wù)器報(bào)告代碼沖突或者執(zhí)行關(guān)機(jī)�。
魔高一尺��,道高一丈����。技術(shù)總是不斷發(fā)展,未來(lái)仍會(huì)暴露出新的應(yīng)用程序安全性漏洞�,通過(guò)警惕一些編碼錯(cuò)誤,開(kāi)發(fā)人員可以構(gòu)建更安全的Android 應(yīng)用��,避免掉入陷阱�����。
利用技術(shù)總是在不斷發(fā)展;未來(lái)可能會(huì)基于可能暴露新的應(yīng)用程序篡改點(diǎn)的依賴(lài)關(guān)系發(fā)現(xiàn)新的漏洞�。通過(guò)了解這些編碼錯(cuò)誤,開(kāi)發(fā)人員可以構(gòu)建更安全的Android應(yīng)用程序����,并躲開(kāi)可能導(dǎo)致這些情況的陷阱。
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體�,目的在于傳遞更多信息���,并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)�����,對(duì)本文以及其中全部或者部分內(nèi)容��、文字的真實(shí)性����、完整性、及時(shí)性本站不作任何保證或承諾���,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容����。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任�。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系我們��,本站將會(huì)在24小時(shí)內(nèi)處理完畢����。
