24h購物| | PChome| 登入
2017-08-07 14:21:39| 人氣302| 回應0 | 上一篇 | 下一篇

你在明,駭客在暗,防駭時代如何自保?

推薦 0 收藏 0 轉貼0 訂閱站台

2017年是電子支付元年,如何在享受便利快速的同時,能兼顧安全交易,避免使用者資料外洩或財務損失之風險,是所有開發商要面對的資安挑戰 

 

    1.防止逆向工程 
原始碼是否可以反編譯? 駭客透過程式碼的解讀可以利用漏洞展開攻擊,一般開發者會使用程式碼混淆技術,但這並不能保證原始碼的安全,而太過混淆也會造成開發人員無法偵錯。逆向工程若應用在Apk修改上將會可能造成APP被重新打包,造成千萬人的資安危險。

 
2. 偵錯日誌函數呼叫風險 

開發者在除錯時常使用偵錯日誌函數,藉由輸出偵錯訊息來幫助程式設計師排除Bug,但偵錯日誌函數的呼叫應保證輸出的資訊是無資安風險的,涉及敏感資訊的輸出在正式或發佈版本中應該被關閉。 



3.
數位資料保密
使用者在使用APP時常常會輸入個資或其他敏感資料,這些資料通常會儲存在手機端,若沒有對儲存資料做加密或線上認證,可能會被惡意程式所竊取,造成機敏資料外洩。除了加密之外也可以進行綁定裝置,使儲存在手機端的資料僅限制在特定裝置上使用,無法被複製到其他裝置上使用。 



4.
憑證綁定 
APP
在對伺服器使用HTTPS加密連線時,應該對伺服器憑證進行檢查,並且使用STRICT_HOSTNAME_VERIFIER嚴格校驗主機名稱,確保連線的伺服器是正確合法的目標伺服器,防止APP連線到駭客假冒的伺服器,進而導致連線時送出的帳號密碼等機敏資料遭到監聽。 



5.
防止動態程式碼植入 
利用程式碼動態植入,攻擊者可以將一段惡意的程式碼寫入到目標程式的記憶體中,進而攔截(Hook)重要函數,竄改程式執行邏輯、竊取敏感資訊等。

常見的動態植入可以用來竊取使用者的帳號密碼,竄改行動支付的交易對象及金額,監聽網路傳輸資料等等。這時可使用身份認證來避免被他人盜用及竄改,利用雙重認證來加強自己的帳戶的安全防護等級。




6.
防止Apk修改/重新打包 
Apk
修改/重新打包為Android上常見的攻擊手法,攻擊者將正版APP下載後進行逆向工程,將原始碼還原,然後從中找出可以修改或加入惡意程式碼的地方,修改後重新封裝成新的APP發佈。2013年中國大陸駭客集團「延邊幫」即利用偽冒行動網銀的惡意APP,偷走南韓網銀用戶數百萬美元存款。) 



面對行動支付的時代,對企業來說,在提供便利交易環境的同時,更應該準備好面對凶猛的資安挑戰,並建立完整的風險管理機制,確保提供使用者足夠的資安防護,避免發生詐騙交易、個資外洩等問題,導致企業形象受損。

 

 

參考資料來源: http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8416

 

 

欲詳細了解產品資訊請拜訪:

正新電腦 http://www.pronew.com.tw/ 04-24738309

 

 

#Malwarebytes #SafeNet #軟硬體加密保護鎖 #OTP動態密碼鎖 #數據資料加密保護 #USB保護鎖 #程式碼加密 #逆向工程防護 #軟體安全顧問 #正新電腦 #程式碼邏輯保護 #程式碼加密 #抗反組譯機制 #變數混淆

台長: 正新電腦 - 軟體加密保護專家
人氣(302) | 回應(0)| 推薦 (0)| 收藏 (0)| 轉寄
全站分類: 數位資訊(科技、網路、通訊、家電) | 個人分類: 資訊安全新聞 |
此分類下一篇:資安挑戰:如何預防勒索軟體與攻擊?-白箱加密.軟體保護...
此分類上一篇:MIS 個資外洩防制
TOP
詳全文