在最近的一次转播画面我们破解紫色,我讨论了漏洞影响移动应用程序和一个例子我介绍了思考的概念共同责任模式在移动应用安全。
在其他安全域,安全专家接受共同责任的概念模型时考虑时保护数据或服务的角色和职责超过一方参与提供服务。这个模型成为完善随着越来越多的公司他们的应用程序转移到云计算基础设施,在那里,他们不再完全控制他们的应用程序的基础设施和环境,服务和数据。共同责任模型成为必要明确的角色和职责不同党派在维护数据的控制和维护系统的完整性。
当我们考虑移动设备和应用程序开发的设备,一个类似的模式存在。
考虑一个终端用户访问敏感信息通过医疗保健或银行应用程序由受信任的应用程序提供者,在Android设备上运行。保护个人数据和保护交易的完整性是很重要的,每个人都形成了一个移动应用生态系统的一部分。
| 利益相关者 | 安全利益 |
| 消费者/最终用户 | 想要确保他们没有欺诈的受害者或利用他们的数据 |
| 应用程序开发人员/出版商 | 想要确保交易是合法的,移动应用程序和api是安全的,不受数据违反市场,他们的品牌和声誉是在好站 |
| 应用程序保护供应商 | 想保护应用程序从逆向工程和篡改,会导致目标攻击他们的客户 |
| 应用商店/操作系统/设备制造商 | 想建立信任和信心的应用和生态系统获得采用的设备和软件 |
我们建立了多个政党都有一个共同的兴趣,确保他们使用的应用程序/提供支持信任和安全。鉴于此,这些利益相关者有什么角色/职责在确保他们的数据或系统的安全吗?
消费者/最终用户:
最终用户需要承担一些责任,以确保他们在负责任的方式使用他们的移动电话。这意味着只有获得应用程序从信誉良好的受信任的应用程序商店,他们意识到网络钓鱼和各种诈骗的风险,可以试图欺骗用户。其他利益相关者可以支持用户通过各种途径的认识和教育,沟通权限控制和一般让他们通知的风险。
应用程序开发人员/出版商:
应用程序开发人员应该寻求理解威胁模型的应用程序或服务,了解具体的风险和潜在的欺诈,可以影响他们的应用程序的用户。的风险和威胁,材料应该以适当的缓解解决控制来保护用户的数据,并定期评估他们的应用程序的安全。
应用程序保护供应商:
应用程序保护供应商(如Guardsquare)采用安全研究人员和工程师理解不断发展的威胁模型,影响移动应用程序和开发有效的和可用的应用程序可以实现保护。
应用商店/操作系统/设备制造商:
平台(设备、操作系统或应用程序商店)是一个共享安全模型的关键部分,由供应商提供像苹果(iOS)和谷歌(安卓),尽管在Android是一个分布式的生态系统的情况下,额外的设备制造商的角色和职责。设备和操作系统需要实现一个安全架构,应该定期更新防止发现漏洞,应该最小化潜在的滥用他们的平台。苹果经常补丁他们的设备和操作系统来防止零日漏洞。我们最近也强调了Android架构是如何容易的例子滥用的易访问性API的服务,这显然是一个设计决定,谷歌可以影响用户和应用程序的安全性在Android生态系统。app store还需要实施控制,确保质量和发布的应用程序的合法性,我们看到谷歌和苹果取得重大进展在解决存在的恶意程序在各自的应用程序商店。
在实践中共同责任是什么意思?
我们的移动应用生态系统的安全依赖于一个共同的责任。
- 安全与信任,如果无法实现底层应用程序商店和生态系统是不安全的
- 移动操作系统和设备需要定期更新和发展解决弱点和防止滥用
- 应用程序开发人员需要查看剩余风险和什么实践,工具和架构可以实现降低这一风险的行业,包括杠杆移动应用程序保护,并定期进行安全测试强化他们的应用程序安全漏洞和弱点
- 应用程序保护或安全供应商应该继续推进可靠的工具,可以帮助应用程序开发人员在证明满足安全目标,可靠的方法,而不需要他们发明专利,非标准方法
- 最后,终端用户将目标,即使所有的其他部分系统工作,所以作为安全专家,我们都扮演一个角色在教育消费者
作为一个贡献者共享安全模型,Guardsquare致力于提供最强大的手机应用程序保护,免费的手机应用程序测试和翔实的研究帮助促成一个更安全的移动应用生态系统。
了解更多关于如何Guardsquare可以帮助你识别和防范逆向工程和篡改,联系我们的专家之一现在!
标签:
瑞安·劳埃德-首席产品官
联系作者
