A standard for developing secure mobile applications

Slides:



Advertisements
Similar presentations
環境游離輻射 ( 六 ) 輻射與核能發電. 媽!這是我上班的 地方-核電廠。 地方好寬闊喔! 聽說日本原子彈爆炸死好幾 萬人,阿榮啊!你在這裡上 班,安全嗎?
Advertisements

《小狗包弟 》之 从阅读到写作 学校:和风中学 年级:高一 参赛者:彭龙英. 预习检测一 思考:同学们读完作者与包弟 的故事后,说一说作者所表达的情 感是什么?
交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔.
虹膜识别健康养老服务智能系统项目.
如何準備社工師考試 講 師:張雅惠 社工師 演講日期:
研究生大進擊 盧永豐
探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆  探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆 
◈ 中小企业需要的所有功能 各种功能,可以永久使用的系统 Ecount ERP 每月$55 库存/销售/采购 生产/成本/利润 会计/资金
Security Checking Systems for Mobile Devices
職校、五專群科簡介.
課程地圖 (104年入學-日間部) 校通識核心 專業課程 必修與選修 與管理模組 網路技術 App設計與應用模組 學院通識核心 學院專業核心
创意方向指引赛处添加标题文字 “2016·金恐龙杯”税收公益广告 创意设计征集赛标题文字 江苏省常州地方税务局第五税务分局
木兰计划——家庭e站 南京慕兰邦网络科技有限公司.
学生教育办介绍 2015年9月.
江苏省工程造价管理协会 工作报告 2015年4月21日 扬州.
急難救助措施簡介 內政部社會司 99年6月7日.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
101年8月份 嘉義市道路交通安全聯席會報 酒駕行為與肇事現況分析 主講人:內政部警政署交通組科長張夢麟 1.
高校邦在线学习平台 学生学习手册 北京高校邦科技有限公司.
云智慧助力在线医疗服务性能优化 —让IT运营更简单 2015年4月 云智慧科技(北京)有限公司.
Are you ready to be an e-teacher
網路智慧財產權與資訊倫理 講師:.
尔雅慕课学生操作手册说明.
尔雅慕课学生操作手册说明.
物聯網安全 物聯網的應用安全開發生命週期與需求管理.
移动创星擂台 2017年3月19日星期日 2017/3/19 此模板可用作起始文件以更新项目里程碑的更新。 节
校際手機應用程式設計大賽 Inter-school Mobile Application Design Contest (IMADC)
Department Communications 104-2學期 課程說明會 Department Communications 大眾傳播學系.
臺北市立松山家商 103學年度第1學期 學校日 教學說明 簡報
103學年度第1階段 志願選填試探後輔導作為 成效檢討與精進建議
活动主题:佛山智造 中国骄傲 随着互联网、云计算、大数据以及移动互联网的快速发展,技术不仅仅是一种工具,正加速重构着品牌的新格局。
四川省卫生监督移动 执法终端介绍 发言人:陈成身 四川省卫生执法监督总队.
獎補助經預計支用報告 105年.
尔雅慕课学生操作手册说明 尔雅客服中心.
物聯網安全 物聯網的軟體安全分析.
組員:蔡惠雅 494D0032 楊雅惠494B0079 蔡騏鴻 葉時宇 余建霖495B0002 陳瑛淑495B0021
拿 法 常晓波博士 Mobile:
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
Working with Databases (II) 靜宜大學資管系 楊子青
尔雅慕课学生操作手册说明 尔雅客服中心.
尔雅慕课学生操作手册说明.
Cloud Computing(雲端運算) 技術的現況與應用
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
教務行政資訊系統 簡介 資訊科技中心 資訊系統組 徐振琦
資策會創新應用服務研究所 計畫主持人:李長脩 博士 03/27/2008
Mobile Technologies for Library
2010電資院 「頂尖企業暑期實習」 經驗分享心得報告
尔雅慕课学生操作手册说明 尔雅客服中心.
金蝶KIS商贸同步服务器1分钟教程 1.设置 2.设备授权 3.同步 4.查看日志 5.Android端下载.
Naxos Music Library User Guide
第三次全国农作物种质资源普查与收集行动 普查数据采集与整理 陈彦清 中国农业科学院作物科学研究所.
資料庫 靜宜大學資管系 楊子青.
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
小学生交通安全主题班会课件 安全 security 上派学区中心校校园安全管理办公室.
虚 拟 仪 器 virtual instrument
Source: Journal of Network and Computer Applications, Vol. 125, No
IEEE Computer Society 長亨文化事業有限公司.
TinyDB資料庫 靜宜大學資管系 楊子青.
國立彰化師範大學 數學系 & 統計資訊研究所 系主任 & 所長: 曾 育 民
A standard for developing secure mobile applications
尔雅慕课学生操作手册说明 尔雅客服中心.
工业设计教研室 主讲教师:李明 Mobile: 教学主楼1385室
學校/系所名稱:樹德科技大學/資訊工程系 參賽隊名:宇宙小超人 參賽同學:沈盈哲、候坤誠、康庭飴、蔡佩諭 指導老師:程毓明教授
會計財務資訊系統 吳琮璠 博士.
Operating System Software School of SCU
國立彰化師範大學 數學系 & 統計資訊研究所 系主任 & 所長: 李錦鎣
全方位起動通識 戴偉森 沙田循道衛理中學 4/7/2009.
Computer Security and Cryptography
第十章 : 系統建置與運轉 1. 前言 讓系統順利運轉之三類工作 : a) 轉換設計文件成為軟體 : 程式撰寫、軟體測試 、系統安裝
Presentation transcript:

A standard for developing secure mobile applications Computer Standards & Interfaces Volume 36, Issue 3, March 2014, Pages 524–530 Stephen M. Dye, Karen Scarfone 報 告 人:碩資管一甲 MA390104 李庭光 授課教師:李南逸 老師 日  期:2015/05/14 (四)

Outline Introduction App vulnerabilities Data security Cryptography concerns Other security issues Mobile App testing Conclusions

Introduction

App OS Test Introduction Mobile Applications Security Requirements Guide Developed by DoD's Defense Information Service Agency(DISA)

Mobile Applications Security Requirements Guide (MAPP SRG) STIG Viewer - MAPP SRG version 2 (2014/07)

App vulnerabilities The app code, Input handling, Initialization & Termination, External code

App Code Never used code Hardcoded Buffer overflow Race condition Malware library

ProGuard vs. Decompile

Input handling 行動應用特殊輸入來源:Sensor MAPP SRG僅考慮文字輸入問題 文字輸入檢查 數值範圍檢查 (例:0~9) 防止注入檢查

Initialization & Termination 正常執行 初始化所有參數 移除敏感檔案 發生異常 記錄 Log 通知使用者 限制應用程式功能 記錄Log Transaction: Commit, Rollback

External code App 不應具有直譯的能力 引用通知,徵求許可

Data Security File permissions, Geolocation, Shared resources, Time, Privacy

Data Security File permissions Geolocation, Sensor data Shared resources Time source 資料分級機制 隱私、安全與UX的取捨

Shared resources 不可將儲存的資料供其他App存取 Example: Android Shared Preferences 被讀取方設定為 MODE_WORLD_READABLE 兩者Share User Id 一致

Cryptography concerns

Cryptography concerns 具備加密能力 需加密保護:產生的資料、設定參數 驗證遠端資源的簽章 採用 3 級憑證 (Class 3 certificates) 遠端資源的簽章必須由受信任的CA發出、尚未到期、尚未被撤銷。

Other security issues Network communications, Log & Alert, Dual-persona devices

Network communications 資料傳送(通訊)可能發生的攻擊 中間人攻擊 重送攻擊 無線傳輸使問題更複雜 A B Attacker

Log & Alert Log不應含有敏感資訊 發生錯誤時進行通知 加密 驗證 處於安全連線

多重角色裝置 角色不可相互存取 限制存取區域(Domain) 配合組織安全政策 多重角色風險:資料洩露、惡意程式感染

Mobile App testing 測試已更新的應用程式、商店測試、沙箱測試

Mobile App testing Updated Apps Testing for App store 更新可能是匆忙完成 可沒有遵循安全標準 Testing for App store 測試深度往往不及MAPP SRG 外部廣告商使用的程式碼 敏感資料是否有被傳送的可能 Sandbox 原文指出Desktop與Laptop的程式會將更新內容提供予使用者,行動App亦是,但又指出行動App可能不按標準開發,這些問題亦有可能發生於D與L,因此不同意此說法。

Conclusions

Conclusions 開發安全應用程式,亦需伴隨相應的測試與驗證 現階段測試工具僅能輔助,仍需以人力進行驗證

報告完畢 討論與Q&A

References Dye, S. M., & Scarfone, K. (2014). A standard for developing secure mobile applications. Computer Standards & Interfaces, 36(3), 524-530. DISA(2014). Mobile Application Security Requirements Guide. http://www.stigviewer.com/stig/mobile_application_security_requirements_guide/ 阿成的技術部落格(2014)。Android安全機制與sandbox機制詳解。 http://www.dotblogs.com.tw/cheng/archive/2014/01/28/142415.aspx