WebView and APP Security - Henry

Group content visibility: 
Use group defaults

第七組

403262112 沈彣

403262291 趙家翎

403262394 鄭淇心

403261481 羅安妮

 

不應該相信使用者的手機

--->程式可能被各種改各種偽裝

APP不可離線驗證

--->APP可能被修改,使用者可以不改客戶端直接改資料庫

1. 設定讓任何驗證碼皆可通過

2. 直接用螢幕截圖偽裝

3. 製作假按鈕

 

不得已要仰賴使用者資料時

--->千萬別離線驗證、隱私資料或驗證數值必須加密<ex:用sqlite切割,加起來後一起解密才可以

Sqlite:一個輕量的關聯性資料庫管理系統,縮寫為 (RDBMS ),所有的資料內容其實就是一個檔案,而且絕大部分的 SQL 指令都可以使用。

驗證或描述檔需要有信任簽章(Digtal Signature:除了可以達到資安中的不可否認性,亦可達到資料完整性的目的)簽署

 

MDM=Mobile Device Management

手機管理系統(大量部屬行動設備的公司或需管控員工對於行動設備的使用、手機遺失APP)--->管理者有高於你的權限且可不經同意修改手機設定

1.一般皆須連線

2.不連線---> 軍隊

潛在問題:

所有所需數值都存在APP中,且數值直接放在TXT檔中未加密(例:管制區域的GPS座標、使用者的GPS座標...等)

使用者可以直接更改GPS位置讓自己不在管制區域內

3.實例:find My iPhone, Android Device Manger

 

BYOD=(bring your own device)

用自己的設備儲存或連入公司內網來使用公司資源系統

如何達到管制目的:須納入公司內部控管,藉由手動或自動部屬的方式將管制設定進入手機

目前企業對設備管控的態度:完全禁止/完全開放/限制私人使用:有限度ex:限制攝影/有.無線傳輸/藍芽.....

mobileconfig

 

Android的應用程式可以接收使用者的各種資料;IOS 則是接收應用程式資料,應用程式無法直接取得資料,因此從IOS較難取得權限。也正是如此,whoscall-ios版本較android版晚出,因為:理論上在ios系統中app不能干涉系統功能(打電話),直到ios10出了新的sdk:core key,方式為讓一個資料庫把東西丟給app

https://developer.apple.com/library/content/releasenotes/General/WhatsNe...

 

第三方廠商-全權由管理者在後面管制(會跟官方合作)

自己寫-不明智

 

 

IOS - 描述檔on device

1.第三方app安裝設定檔進去

2.管控各項功能

3.dep設備不可刪除{連接電腦可刪除描述檔來解除設定}

4.apple 使用者權限>系統

5.需連網(不一定要公司網路)

6.無簽署的描述檔可被覆蓋,須小心

[描述檔]iphone configuration2

DEP=Device Enrollment Program

 

憑證

1.驗證一定要加密

2.小心任何憑證(中間人攻擊、憑證被替換...etc),即使是可信任的憑證也不知道會不會亂簽

3.離線驗證不安全。

4.綠色: 為一般安全、可信任之權威性憑證

5.紅色叉叉:不安全或來歷不明之憑證 (EX: 台灣政府網站沒有經過權威憑證驗證所以為紅叉叉)

6. 當信任一個網站,你可能順帶連其他子網站也信任,但其實不一定安全

 

owasp mobile top 10 2016

剖析APP

把.ipa檔改成.zip檔可以發現一些東西

手機JB後可更改GPS、SQLITE

 

功課小提示 1.備份檔(atp/root) 2.資料庫 3.開發者模式