移动应用开发给企业带来了全新的问题,特别是在软件安全领域。通常应用商店的开发人员可能会担心代码被盗,然后被反向编译。这对于花费大量时间和资源创建出应用的个人开发人员或者小型团队而言无疑是灭顶之灾。但是最终分析表明,通常应用本身只能带来数千美元的利润,即使有什么问题带来的损失也不是很大。相比较而言,不安全的应用对于企业级公司而言,可能会造成的敏感信息丢失,资产的被盗或者客户个人和财务数据信息的泄露,这些所导致的损失则会达到百万甚至数十亿美元。不幸的是,很多企业刚刚第一次尝试构建移动应用——他们可能还没有意识到这么小的应用程序上的错误可能会导致的严重后果。
更大不意味着更安全
企业过去通常严格控制它们的基础架构。Dan Cornell,Denim Group的CTO,提及一种常见的和安全性错误认知相关的缺陷。”移动应用的安全的确非常重要,因为不仅仅要考虑到设备上的代码。你在改变你的系统。在基于Web的系统上会出现这样的情况,”这里是我的代码,这里是我的系统,系统在服务器端,但是攻击者在防火墙的另一边。“
“而移动应用,”他补充道,“你需要将一些计算和数据放到不受信任的设备上。这些设备可能会被盗,也可能被root了,可能会在eBay上出售或者发生任何其他情况。这些都使得保证移动应用的安全性非常复杂。”
当想要安全保护移动应用时,很多细节需要考虑。在服务的交互端口最容易产生问题。根据Cornell所说,”这不仅仅有关于在设备上运行的代码,还有关于支持设备代码的在企业Web服务上运行的代码,还有关于移动应用程序调用的第三方服务的代码。我们观察到的最严重的问题存在于这些不同组件的交互部分。“
数据保护需要持续投入
数据泄露对于移动应用而言是个很严重的问题——可能以很多方式发生。这是Gartner的一名分析师Van Baker的观点。数据传输,存储和使用都可能引入风险。”一方面,需要认证请求进入的用户,因为他们还没有进入你的网络。他们通过公开的移动电话网络进入,因此必须确保他们的确是你想要给予权限访问公司系统的用户。这是第一层次的挑战,能够通过活动的目录实现或者LDAP实现来完成认证。“
“接下来,”Baker继续道,“如果你要发送敏感信息给这些移动应用程序,需要确保加密了数据的传输。如果这些数据留存在移动设备里,需要确保留存数据被加密,这样才能保证公司资产在这些设备上的安全。”
保持这些数据在企业的监控下也很困难。不能期望员工一直谨慎使用他们自己的设备,并且只下载公司授权的应用。这些设备里,个人和业务的混合使用给保证移动应用安全的开发人员带来了全新的挑战。”大家可能在这些包含敏感信息的移动设备上安装工作相关的应用程序,并且他们想要安装不被公司控制的个人应用,”Baker说。“可能可以使用类似容器技术的隔离技术,并且在移动应用里构建策略来阻止类似拷贝/粘贴或者转发到域外的操作。”这些是移动应用程序员面临的一些挑战,而开发台式机应用程序时完全无需考虑到这些。
开发人员是否需从之前的错误中吸取教训?
Cornell一针见血——开发人员和商务人员必须意识到一些安全问题可能会发生。“我们已经意识到移动系统里,特别是从安全性角度来看,开发团队在犯一些很久以来就一直存在的错误,”他说。“我们一开始在Web应用程序里看到这些错误。例如需要登录的管理功能通常没有被很好地保护(比如管理员目录,大家都嫌烦,而设置成无需密码登录)。”
随着时间的流逝,开发人员也意识到了这些问题。但是随着AJAX应用的兴起,安全性问题又日益严重,因为服务无需做认证或者授权检查 -- 自然企业又不得不自尝恶果。历史总是在不断重演。“移动应用出现后,支撑应用的服务之前都没有接受到过任何恶意流量,”Cornell说。“他们只从授权的移动客户端接收请求。当开始攻击这些服务的时候,它们自然迅速沦陷了。或者,如果尝试将这些服务的标识符增加时,你就会发现这些服务根本就没有考虑到授权或者认证。这是开发团队之前就犯过的错误,现在在新的上下文环境里又重新犯错了。”
但是Cornell承认企业级开发团队学习速度很快。“他们正在学习如何进行移动开发,同时如何保证移动开发的安全性。”但愿他们能够通过对过去发生的错误的学习来避免问题,而不是需要在以后重新将这些问题再次经历一遍。当面对移动应用安全性问题时,企业已经意识到他们无法承受这方面的错误。
(责任编辑:安博涛)