移动应用安全
移动应用安全 是什么?
移动应用安全通过设计、开发和测试 iOS 与 Android 应用来保护用户数据、防止逆向工程并抵御运行时篡改的实践。
移动应用安全涵盖应用全生命周期的防护措施:安全编码、安全存储(Keychain、Android Keystore)、证书固定、代码混淆、防篡改检测,以及合理使用平台沙箱与权限。它还包括对应用所调用的后端 API 的加固。常见威胁包括对二进制文件的逆向、利用 Frida 或 Objection 进行运行时挂钩、敌对网络上的 SSL 剥离,以及对弱深度链接或导出组件的滥用。OWASP MASVS 与 MASTG 等行业规范提供了可验证的安全基线,Apple App Store 与 Google Play 的政策也施加额外的审核门槛。
● 示例
- 01
银行应用使用证书固定和 Android Keystore,使得 root 设备无法提取会话令牌。
- 02
iOS 应用启动时若检测到越狱或常见端口上的 Frida 服务,则拒绝启动。
● 常见问题
移动应用安全 是什么?
通过设计、开发和测试 iOS 与 Android 应用来保护用户数据、防止逆向工程并抵御运行时篡改的实践。 它属于网络安全的 移动安全 分类。
移动应用安全 是什么意思?
通过设计、开发和测试 iOS 与 Android 应用来保护用户数据、防止逆向工程并抵御运行时篡改的实践。
移动应用安全 是如何工作的?
移动应用安全涵盖应用全生命周期的防护措施:安全编码、安全存储(Keychain、Android Keystore)、证书固定、代码混淆、防篡改检测,以及合理使用平台沙箱与权限。它还包括对应用所调用的后端 API 的加固。常见威胁包括对二进制文件的逆向、利用 Frida 或 Objection 进行运行时挂钩、敌对网络上的 SSL 剥离,以及对弱深度链接或导出组件的滥用。OWASP MASVS 与 MASTG 等行业规范提供了可验证的安全基线,Apple App Store 与 Google Play 的政策也施加额外的审核门槛。
如何防御 移动应用安全?
针对 移动应用安全 的防御通常结合技术控制与运营实践,详见上方完整定义。
移动应用安全 还有哪些其他名称?
常见的别称包括: 应用安全, 移动应用程序安全。
● 相关术语
- appsec№ 056
应用安全(AppSec)
一门围绕软件全生命周期开展的学科,通过设计、构建、测试与运营,使软件能够抵御滥用、篡改和未授权访问。
- mobile-security№ 693
移动应用沙箱
由操作系统强制实施的边界,限制移动应用可访问的文件、IPC 与 API,使被攻陷的应用难以触及其他应用的数据。
- mobile-security№ 692
移动应用权限
由操作系统强制要求用户同意才能让应用访问敏感资源(如位置、麦克风、摄像头、联系人、照片、短信或后台传感器)的控制机制。
- mobile-security№ 562
iOS 越狱
在 iPhone 或 iPad 上绕过 Apple 的代码签名与沙箱限制,从而安装未经 Apple 批准的软件的过程。
- mobile-security№ 948
Android Root
在 Android 设备上获取不受限制的超级用户 (root) 权限,绕过 Linux 内核、SELinux 和 Android 验证启动链所施加的保护。
- mobile-security№ 047
Android 恶意软件
针对 Android 操作系统的恶意软件,通常通过侧载 APK、Google Play 上的 dropper 应用或被入侵的第三方应用商店进行传播。
● 参见
- № 697移动设备管理 (MDM)
- № 696移动应用管理 (MAM)
- № 123自带设备办公 (BYOD)
- № 382企业移动管理 (EMM)
- № 695移动应用商店攻击
- № 810Pegasus 间谍软件 (NSO Group)
- № 517IMEI (国际移动设备识别码)
- № 520IMSI (国际移动用户识别码)