A standard for developing secure mobile applications

Slides:



Advertisements
Similar presentations
環境游離輻射 ( 六 ) 輻射與核能發電. 媽!這是我上班的 地方-核電廠。 地方好寬闊喔! 聽說日本原子彈爆炸死好幾 萬人,阿榮啊!你在這裡上 班,安全嗎?
Advertisements

《小狗包弟 》之 从阅读到写作 学校:和风中学 年级:高一 参赛者:彭龙英. 预习检测一 思考:同学们读完作者与包弟 的故事后,说一说作者所表达的情 感是什么?
交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔.
如何準備社工師考試 講 師:張雅惠 社工師 演講日期:
研究生大進擊 盧永豐
探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆  探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆 
◈ 中小企业需要的所有功能 各种功能,可以永久使用的系统 Ecount ERP 每月$55 库存/销售/采购 生产/成本/利润 会计/资金
職校、五專群科簡介.
課程地圖 (104年入學-日間部) 校通識核心 專業課程 必修與選修 與管理模組 網路技術 App設計與應用模組 學院通識核心 學院專業核心
创意方向指引赛处添加标题文字 “2016·金恐龙杯”税收公益广告 创意设计征集赛标题文字 江苏省常州地方税务局第五税务分局
学生教育办介绍 2015年9月.
江苏省工程造价管理协会 工作报告 2015年4月21日 扬州.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
101年8月份 嘉義市道路交通安全聯席會報 酒駕行為與肇事現況分析 主講人:內政部警政署交通組科長張夢麟 1.
高校邦在线学习平台 学生学习手册 北京高校邦科技有限公司.
云智慧助力在线医疗服务性能优化 —让IT运营更简单 2015年4月 云智慧科技(北京)有限公司.
Are you ready to be an e-teacher
尔雅慕课学生操作手册说明.
尔雅慕课学生操作手册说明.
移动创星擂台 2017年3月19日星期日 2017/3/19 此模板可用作起始文件以更新项目里程碑的更新。 节
校際手機應用程式設計大賽 Inter-school Mobile Application Design Contest (IMADC)
Department Communications 104-2學期 課程說明會 Department Communications 大眾傳播學系.
臺北市立松山家商 103學年度第1學期 學校日 教學說明 簡報
尔雅慕课学生操作手册说明 尔雅客服中心.
物聯網安全 物聯網的軟體安全分析.
拿 法 常晓波博士 Mobile:
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
Working with Databases (II) 靜宜大學資管系 楊子青
尔雅慕课学生操作手册说明 尔雅客服中心.
尔雅慕课学生操作手册说明.
Working with Databases (II) 靜宜大學資管系 楊子青
Cloud Computing(雲端運算) 技術的現況與應用
Working with Databases (II) 靜宜大學資管系 楊子青
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
ASP.NET基本設計與操作 建國科技大學 資管系 饒瑞佶 2007年.
教務行政資訊系統 簡介 資訊科技中心 資訊系統組 徐振琦
安裝JDK 安裝Eclipse Eclipse 中文化
OSGi (Open Service Gateway Initiative)
Mobile Technologies for Library
2010電資院 「頂尖企業暑期實習」 經驗分享心得報告
網路安全技術期末報告 Proxy Server
尔雅慕课学生操作手册说明 尔雅客服中心.
金蝶KIS商贸同步服务器1分钟教程 1.设置 2.设备授权 3.同步 4.查看日志 5.Android端下载.
Naxos Music Library User Guide
UpToDate Anywhere 設定方法
第三次全国农作物种质资源普查与收集行动 普查数据采集与整理 陈彦清 中国农业科学院作物科学研究所.
資料庫 靜宜大學資管系 楊子青.
A standard for developing secure mobile applications
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
Controllable and Trustworthy Blockchain-based Cloud Data Management
Source: Journal of Network and Computer Applications, Vol. 125, No
2011清大電資院學士班 「頂尖企業暑期實習」 經驗分享心得報告 實習企業:工研院 實習學生:電資院學士班 楊博旭.
Video 影像 (VideoPlayer 影像播放器、Camcorder 錄影機) 靜宜大學資管系 楊子青
TinyDB資料庫 靜宜大學資管系 楊子青.
案件名稱: 資安預警通報 通報等級: 第一級 發生時間: 2019/02/24 03:53:28 案件說明:
國立彰化師範大學 數學系 & 統計資訊研究所 系主任 & 所長: 曾 育 民
尔雅慕课学生操作手册说明 尔雅客服中心.
工业设计教研室 主讲教师:李明 Mobile: 教学主楼1385室
班級:博碩子一甲 授課老師:鐘國家 助教:陳國政
MultiThread Introduction
學校/系所名稱:樹德科技大學/資訊工程系 參賽隊名:宇宙小超人 參賽同學:沈盈哲、候坤誠、康庭飴、蔡佩諭 指導老師:程毓明教授
Operating System Software School of SCU
國立彰化師範大學 數學系 & 統計資訊研究所 系主任 & 所長: 李錦鎣
全方位起動通識 戴偉森 沙田循道衛理中學 4/7/2009.
NFC (近場通訊, Near Field Communication) 靜宜大學資管系 楊子青
Computer Security and Cryptography
Chapter 4 Multi-Threads (多執行緒).
Jquery Mobile開發須知 周季賢.
第十章 : 系統建置與運轉 1. 前言 讓系統順利運轉之三類工作 : a) 轉換設計文件成為軟體 : 程式撰寫、軟體測試 、系統安裝
Presentation transcript:

A standard for developing secure mobile applications Computer Standards & Interfaces Volume 36, Issue 3, March 2014, Pages 524–530 Stephen M. Dye, Karen Scarfone 報 告 人:碩資管一甲 MA390104 李庭光 授課教師:李南逸 老師 日  期:2015/05/14 (四)

Outline Introduction App vulnerabilities Data security Cryptography concerns Other security issues Mobile App testing Conclusions

Introduction

App OS Test Introduction Mobile Applications Security Requirements Guide Developed by DoD's Defense Information Service Agency(DISA)

Mobile Applications Security Requirements Guide (MAPP SRG) STIG Viewer - MAPP SRG version 2 (2014/07)

App vulnerabilities The app code, Input handling, Initialization & Termination, External code

App Code Never used code Hardcoded Buffer overflow Race condition Malware library

ProGuard vs. Decompile

Input handling 行動應用特殊輸入來源:Sensor MAPP SRG僅考慮文字輸入問題 文字輸入檢查 數值範圍檢查 (例:0~9) 防止注入檢查

Initialization & Termination 正常執行 初始化所有參數 移除敏感檔案 發生異常 記錄 Log 通知使用者 限制應用程式功能 記錄Log Transaction: Commit, Rollback

External code App 不應具有直譯的能力 引用通知,徵求許可

Data Security File permissions, Geolocation, Shared resources, Time, Privacy

Data Security File permissions Geolocation, Sensor data Shared resources Time source 資料分級機制 隱私、安全與UX的取捨

Shared resources 不可將儲存的資料供其他App存取 Example: Android Shared Preferences 被讀取方設定為 MODE_WORLD_READABLE 兩者Share User Id 一致

Cryptography concerns

Cryptography concerns 具備加密能力 需加密保護:產生的資料、設定參數 驗證遠端資源的簽章 採用 3 級憑證 (Class 3 certificates) 遠端資源的簽章必須由受信任的CA發出、尚未到期、尚未被撤銷。

Other security issues Network communications, Log & Alert, Dual-persona devices

Network communications 資料傳送(通訊)可能發生的攻擊 中間人攻擊 重送攻擊 無線傳輸使問題更複雜 A B Attacker

Log & Alert Log不應含有敏感資訊 發生錯誤時進行通知 加密 驗證 處於安全連線

多重角色裝置 角色不可相互存取 限制存取區域(Domain) 配合組織安全政策 多重角色風險:資料洩露、惡意程式感染

Mobile App testing 測試已更新的應用程式、商店測試、沙箱測試

Mobile App testing Updated Apps Testing for App store 更新可能是匆忙完成 可沒有遵循安全標準 Testing for App store 測試深度往往不及MAPP SRG 外部廣告商使用的程式碼 敏感資料是否有被傳送的可能 Sandbox 原文指出Desktop與Laptop的程式會將更新內容提供予使用者,行動App亦是,但又指出行動App可能不按標準開發,這些問題亦有可能發生於D與L,因此不同意此說法。

Conclusions

Conclusions 開發安全應用程式,亦需伴隨相應的測試與驗證 現階段測試工具僅能輔助,仍需以人力進行驗證

報告完畢 討論與Q&A

References Dye, S. M., & Scarfone, K. (2014). A standard for developing secure mobile applications. Computer Standards & Interfaces, 36(3), 524-530. DISA(2014). Mobile Application Security Requirements Guide. http://www.stigviewer.com/stig/mobile_application_security_requirements_guide/ 阿成的技術部落格(2014)。Android安全機制與sandbox機制詳解。 http://www.dotblogs.com.tw/cheng/archive/2014/01/28/142415.aspx

反馈: 隐私 反馈
About project: SlidePlayer 条款

© 2024 slidesplayer.com Inc. All rights reserved.