A standard for developing secure mobile applications

Slides:

Advertisements

Similar presentations

環境游離輻射 ( 六 ) 輻射與核能發電. 媽！這是我上班的地方－核電廠。地方好寬闊喔！聽說日本原子彈爆炸死好幾萬人，阿榮啊！你在這裡上班，安全嗎？

Advertisements

《小狗包弟》之从阅读到写作学校：和风中学年级：高一参赛者：彭龙英. 预习检测一思考：同学们读完作者与包弟的故事后，说一说作者所表达的情感是什么？

交通部資安教育訓練趨勢科技資安顧問邱豊翔.

虹膜识别健康养老服务智能系统项目.

如何準備社工師考試講師：張雅惠社工師演講日期：

研究生大進擊盧永豐

探究活动课：互联网＋历史素材阅读与研讨古代中国的选官制度黄天庆　探究活动课：互联网＋历史素材阅读与研讨古代中国的选官制度黄天庆　

◈ 中小企业需要的所有功能各种功能，可以永久使用的系统 Ecount ERP 每月$55 库存/销售/采购生产/成本/利润会计/资金

Security Checking Systems for Mobile Devices

職校、五專群科簡介.

課程地圖 (104年入學-日間部) 校通識核心專業課程必修與選修與管理模組網路技術 App設計與應用模組學院通識核心學院專業核心

创意方向指引赛处添加标题文字 “2016·金恐龙杯”税收公益广告创意设计征集赛标题文字江苏省常州地方税务局第五税务分局

木兰计划——家庭e站南京慕兰邦网络科技有限公司.

学生教育办介绍 2015年9月.

江苏省工程造价管理协会工作报告 2015年4月21日扬州.

急難救助措施簡介內政部社會司 99年6月7日.

大綱基本觀念安全的重要性取捨一些安全防護技術和制度的基本原理你只需要知道原理你自己要有因應的措施企業安全規範 1.

101年8月份嘉義市道路交通安全聯席會報酒駕行為與肇事現況分析主講人：內政部警政署交通組科長張夢麟 1.

高校邦在线学习平台学生学习手册北京高校邦科技有限公司.

云智慧助力在线医疗服务性能优化 —让IT运营更简单 2015年4月云智慧科技（北京）有限公司.

Are you ready to be an e-teacher

網路智慧財產權與資訊倫理講師：.

尔雅慕课学生操作手册说明.

尔雅慕课学生操作手册说明.

物聯網安全物聯網的應用安全開發生命週期與需求管理.

移动创星擂台 2017年3月19日星期日 2017/3/19 此模板可用作起始文件以更新项目里程碑的更新。节

校際手機應用程式設計大賽 Inter-school Mobile Application Design Contest (IMADC)

Department Communications 104-2學期課程說明會 Department Communications 大眾傳播學系.

臺北市立松山家商 103學年度第1學期學校日教學說明簡報

103學年度第1階段志願選填試探後輔導作為成效檢討與精進建議

活动主题：佛山智造中国骄傲随着互联网、云计算、大数据以及移动互联网的快速发展,技术不仅仅是一种工具，正加速重构着品牌的新格局。

四川省卫生监督移动执法终端介绍发言人：陈成身四川省卫生执法监督总队.

獎補助經預計支用報告 105年.

尔雅慕课学生操作手册说明尔雅客服中心.

物聯網安全物聯網的軟體安全分析.

組員：蔡惠雅 494D0032 楊雅惠494B0079 蔡騏鴻葉時宇余建霖495B0002 陳瑛淑495B0021

拿法常晓波博士 Mobile:

1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活

Working with Databases (II) 靜宜大學資管系楊子青

尔雅慕课学生操作手册说明尔雅客服中心.

尔雅慕课学生操作手册说明.

Cloud Computing(雲端運算) 技術的現況與應用

9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系范錚強

教務行政資訊系統簡介資訊科技中心資訊系統組徐振琦

資策會創新應用服務研究所計畫主持人:李長脩博士 03/27/2008

Mobile Technologies for Library

2010電資院「頂尖企業暑期實習」經驗分享心得報告

尔雅慕课学生操作手册说明尔雅客服中心.

金蝶KIS商贸同步服务器1分钟教程 1.设置 2.设备授权 3.同步 4.查看日志 5.Android端下载.

Naxos Music Library User Guide

第三次全国农作物种质资源普查与收集行动普查数据采集与整理陈彦清中国农业科学院作物科学研究所.

資料庫靜宜大學資管系楊子青.

9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系范錚強

小学生交通安全主题班会课件安全 security 上派学区中心校校园安全管理办公室.

虚拟仪器 virtual instrument

Source: Journal of Network and Computer Applications, Vol. 125, No

IEEE Computer Society 長亨文化事業有限公司.

TinyDB資料庫靜宜大學資管系楊子青.

國立彰化師範大學數學系 & 統計資訊研究所系主任 & 所長: 曾育民

A standard for developing secure mobile applications

尔雅慕课学生操作手册说明尔雅客服中心.

工业设计教研室主讲教师：李明 Mobile：教学主楼1385室

學校/系所名稱：樹德科技大學/資訊工程系參賽隊名：宇宙小超人參賽同學：沈盈哲、候坤誠、康庭飴、蔡佩諭指導老師：程毓明教授

會計財務資訊系統吳琮璠博士.

Operating System Software School of SCU

國立彰化師範大學數學系 & 統計資訊研究所系主任 & 所長: 李錦鎣

全方位起動通識戴偉森沙田循道衛理中學 4/7/2009.

Computer Security and Cryptography

第十章 : 系統建置與運轉 1. 前言讓系統順利運轉之三類工作 : a) 轉換設計文件成為軟體 : 程式撰寫、軟體測試、系統安裝

Presentation transcript:

A standard for developing secure mobile applications Computer Standards & Interfaces Volume 36, Issue 3, March 2014, Pages 524–530 Stephen M. Dye, Karen Scarfone 報告人：碩資管一甲 MA390104 李庭光授課教師：李南逸老師日　　期：2015/05/14 (四)

Outline Introduction App vulnerabilities Data security Cryptography concerns Other security issues Mobile App testing Conclusions

Introduction

App OS Test Introduction Mobile Applications Security Requirements Guide Developed by DoD's Defense Information Service Agency(DISA)

Mobile Applications Security Requirements Guide (MAPP SRG) STIG Viewer - MAPP SRG version 2 (2014/07)

App vulnerabilities The app code, Input handling, Initialization & Termination, External code

App Code Never used code Hardcoded Buffer overflow Race condition Malware library

ProGuard vs. Decompile

Input handling 行動應用特殊輸入來源：Sensor MAPP SRG僅考慮文字輸入問題文字輸入檢查數值範圍檢查 (例：0~9) 防止注入檢查

Initialization & Termination 正常執行初始化所有參數移除敏感檔案發生異常記錄 Log 通知使用者限制應用程式功能記錄Log Transaction: Commit, Rollback

External code App 不應具有直譯的能力引用通知，徵求許可

Data Security File permissions, Geolocation, Shared resources, Time, Privacy

Data Security File permissions Geolocation, Sensor data Shared resources Time source 資料分級機制隱私、安全與UX的取捨

Shared resources 不可將儲存的資料供其他App存取 Example: Android Shared Preferences 被讀取方設定為 MODE_WORLD_READABLE 兩者Share User Id 一致

Cryptography concerns

Cryptography concerns 具備加密能力需加密保護：產生的資料、設定參數驗證遠端資源的簽章採用 3 級憑證 (Class 3 certificates) 遠端資源的簽章必須由受信任的CA發出、尚未到期、尚未被撤銷。

Other security issues Network communications, Log & Alert, Dual-persona devices

Network communications 資料傳送(通訊)可能發生的攻擊中間人攻擊重送攻擊無線傳輸使問題更複雜 A B Attacker

Log & Alert Log不應含有敏感資訊發生錯誤時進行通知加密驗證處於安全連線

多重角色裝置角色不可相互存取限制存取區域(Domain) 配合組織安全政策多重角色風險：資料洩露、惡意程式感染

Mobile App testing 測試已更新的應用程式、商店測試、沙箱測試

Mobile App testing Updated Apps Testing for App store 更新可能是匆忙完成可沒有遵循安全標準 Testing for App store 測試深度往往不及MAPP SRG 外部廣告商使用的程式碼敏感資料是否有被傳送的可能 Sandbox 原文指出Desktop與Laptop的程式會將更新內容提供予使用者，行動App亦是，但又指出行動App可能不按標準開發，這些問題亦有可能發生於D與L，因此不同意此說法。

Conclusions

Conclusions 開發安全應用程式，亦需伴隨相應的測試與驗證現階段測試工具僅能輔助，仍需以人力進行驗證

報告完畢討論與Q&A

References Dye, S. M., & Scarfone, K. (2014). A standard for developing secure mobile applications. Computer Standards & Interfaces, 36(3), 524-530. DISA(2014). Mobile Application Security Requirements Guide. http://www.stigviewer.com/stig/mobile_application_security_requirements_guide/ 阿成的技術部落格(2014)。Android安全機制與sandbox機制詳解。 http://www.dotblogs.com.tw/cheng/archive/2014/01/28/142415.aspx