Androidアプリケーションのトップセキュリティリスク/攻撃シナリオのリスト
WHatは、Androidアプリケーションの可能なセキュリティリスク/攻撃シナリオです。これは、ここで説明されているOWASPトップ10モバイルセキュリティの脅威に関連しています: https://www.owasp.org /index.php/OWASP_Mobile_Security_Project
10のうちどれが該当するか、また脅威がどのように生成され、どのように軽減できるかを知りたい.
あなたの質問は、おそらく現在の形では答えられないでしょう。 OWASPモバイルセキュリティプロジェクト の全体的なポイントは、非常に多くの脅威があり、そのうち上位10件がリストされていること、および制御またはアクティビティを軽減することの数が多いことです。
- 安全でないデータストレージ
- 弱いサーバー側のコントロール
- 不十分なトランスポート層保護
- クライアント側注入
- 不十分な承認と認証
- 不適切なセッション処理
- 信頼できない入力によるセキュリティの決定
- サイドチャネルのデータ漏洩
- 壊れた暗号
- 機密情報の開示
リンク先のページを読むと、リスクの概要と、上位10のそれぞれの緩和策の現在のリストが表示されます。これはまだ作業中であり、コミュニティが構築を支援することが期待されますドキュメントの詳細。
これら10個すべてがAndroid=電話に適用されるため、それぞれのリスクの概要を読み、アプリケーションを調べて、緩和策のいずれかを使用しているかどうかを確認します。
上記のRory Alsopによる脆弱性の他に、Android研究者が遭遇した特定の脆弱性を確認することを強くお勧めします。いくつかのリンク:-
- 「コドロイド」とその背後にある研究を見てください。
- Androidアクセス許可-「Androidのアクセス許可をわかりやすく説明した」で同じことを行った調査を見てください
- 「Google Androidを使って自分をつなぐ7つの方法」という素晴らしいDefcon 19の講演があります。これは必見です。