今年 5 月,谷歌在 I/O 大會上宣佈,Kotlin 編程語言成為其 Android 應用程式開發人員的首選語言。 Kotlin 是一種面向現代多平臺應用程式的編程語言,成為谷歌開發 Android 應用程式的首選語言後,許多開發人員逐漸地從 Java 轉向 Kotlin。根據最新的一項調查顯示, ...
今年 5 月,谷歌在 I/O 大會上宣佈,Kotlin 編程語言成為其 Android 應用程式開發人員的首選語言。
Kotlin 是一種面向現代多平臺應用程式的編程語言,成為谷歌開發 Android 應用程式的首選語言後,許多開發人員逐漸地從 Java 轉向 Kotlin。根據最新的一項調查顯示,有 62% 的開發人員使用 Kotlin 來構建移動應用程式,另有 41% 的開發人員使用 Kotlin 來構建 Web 後端項目。
而隨著 Kotlin 的出現,越來越多的知名組織愈加重視移動應用程式的安全性。最近由 DHS 與 NIST 聯合的一項關於移動設備安全研究發現,應用程式中的漏洞通常是沒有遵循安全編碼引起,這些漏洞會對用戶的數據造成某種危害。
對於使用 Kotlin 開發人員來說,熟悉這門語言並瞭解移動應用程式的安全編碼是非常重要的。以下是在使用 Kotlin 時遇到的一些常見漏洞: 不安全數據存儲 Android 生態系統為應用程式提供了幾種存儲數據的方法。開發人員使用的存儲類型取決於幾點:存儲的數據類型、數據的使用以及數據是否應該保持私有或與其他應用程式共用。 而常見的編碼錯誤是以明文存儲敏感信息。例如,經常在應用程式使用的 “Shared Preference” 或資料庫查找 API 密碼、密碼和 PII(Personally Identifiable Information),由於攻擊者能夠訪問應用程式的資料庫(根設備、應用程式的備份等),從而檢索使用該應用的其他用戶的憑據,這類疏忽越來越多地導致重要數據丟失。
不安全通信 目前,大多數移動應用程式在某種程度上以 client-server 的方式交換數據,當進行通信時,用戶數據就會在移動運營商網路、或者某些 WiFi 網路和互聯網之間進行傳輸。正是這個過程,攻擊者就能利用其中的某個弱環節發起攻擊。如果數據傳輸沒有使用 SSL/TLS 加密,則攻擊者不僅能夠監視以明文傳輸的通信數據,而且還能夠竊取交換的數據並執行中間人攻擊。 為了防止不安全的通信,必須始終把網路層認為是不安全的,並不斷確保移動程式和後端伺服器之間的所有通信都是加密的。
不安全認證
移動設備中的輸入機制,例如 4-PIN 碼或者基於 TouchID 等特性的身份驗證,都會導致移動應用程式的身份驗證不安全且容易遭受攻擊。 除非有功能需求,否則移動應用程式不需要對其進行實時身份驗證的後端伺服器。即使存在這樣的後端伺服器,用戶通常也不需要在任何時候都處於聯機狀態。這給移動應用的身份驗證帶來了巨大的挑戰,每當在本機進行身份驗證時,就可以通過運行時操作或修改二進位文件來繞過已越獄設備上的身份驗證。 不安全的身份驗證不僅僅是猜出密碼、預設用戶帳戶或破壞數據。有時,可以繞過身份驗證機制,系統無法識別用戶並記錄其(惡意)行為。
代碼篡改
所謂的代碼篡改指的是:在設備上下載一個應用程式後,該應用的代碼和數據是存於該設備的。由於大多數應用程式是公共的,這導致攻擊可以進行修改代碼、操作記憶體內容、更改或替換系統 API 或者修改應用程式的數據和資源。 為了防止代碼篡改,重要的是移動應用程式能夠在運行時檢測到代碼已被添加或更改。開發團隊應該做出相應的行動,向伺服器報告代碼衝突或者執行關機。
魔高一尺,道高一丈。技術總是不斷發展,未來仍會暴露出新的應用程式安全性漏洞,通過警惕一些編碼錯誤,開發人員可以構建更安全的 Android 應用,避免掉入陷阱。 利用技術總是在不斷發展;未來可能會基於可能暴露新的應用程式篡改點的依賴關係發現新的漏洞。通過瞭解這些編碼錯誤,開發人員可以構建更安全的 Android 應用程式,並躲開可能導致這些情況的陷阱。
