Lexi champ
2019-12-16 19:30:46 UTC
我正在努力確保公司產品的安全性。我們有該產品的移動版本。這個問題是針對Android版本的
背景-我們的產品是基於SaaS的產品,該應用旨在供租戶組織的不同銷售人員使用。我們已經實現了不同的控制層,以確保我們應用程序的安全(或更像安全)環境-
- 我們檢查根目錄檢測-(操作系統級別檢查)
- 已實施SSL固定-(傳輸層級別檢查)
- 在Android密鑰鏈中存儲機密
- 最小的本地數據存儲。加密本地數據(需要存儲)
,列表繼續。簡而言之,從設備到通信層再到服務器層,我們正在覆蓋每個角落。
問題是,我們收到一位安全研究人員報告的一個問題,說我們的應用可以從Android Play商店下載,因此可以在模擬器上運行,並且可以在模擬器上繞過根檢測。因此,它增加了巨大的威脅,應立即修復。
我進行了搜索,但是我找不到能夠將應用程序安裝在模擬器上的安全隱患。我還檢查了是否必須修復它,可能是解決方案。有一些檢查,例如查看運行環境是否為SDK,檢查攝像頭或傳感器等功能是否正常運行,但所有這些檢查也可以在模擬器中被忽略。
這對我來說很關鍵,因為如果我接受此問題,我們的客戶將在報告中看到它,並堅持要求對其進行修復。對於要向管理人員和開發人員(如果我接受)和修復(稍後可能需要)進行解釋的含義,我現在是空白。
更新-
- 我想澄清一件事,我們從不提倡將根檢測或任何其他客戶端安全控製作為應用程序的優點,因為我們認為可以在某一點或另一點繞過所有客戶端保護
- 我們繼續嘗試在服務器級別構建更安全的體系結構。但是由於客戶端也構成了生態系統的一部分,所以我們不能無所顧忌。
- 我們甚至嘗試在通信層(TLS之外)實施控件,以確保僅通過輕按即可獲得所有內容 ol>
整個想法是,如果我們無法控制在某些方面,我們至少可以使惡意團體難以接受。我們的主要重點是確保用戶數據和控件的安全並在進行中。
Pentester的最新消息-與他討論之後,他說他不了解應用程序安全性要求。根據他的說法,所有應用都應具有root用戶檢測功能。我們向他解釋說,這些事情對我們來說是次要的,但是如果任何特定於客戶的數據在眾目sight之下,或者由於應用程序中的配置錯誤或應用程序中的任何漏洞(例如硬編碼的機密)而受到損害,那麼它就是主要的。
基於提供給大家的信息,我能夠清楚地區分並幫助解決問題。早些時候都是因為這個問題。感謝所有人
如果用戶具有root訪問權限,那麼他們仍然可以繞過您的root檢查檢測。Rootkit甚至可以向root用戶隱藏它們的存在,因此從用戶應用程序中隱藏將容易得多。
您的安全研究人員說,您的應用可以在Play商店中使用是否存在問題?聽起來像[這個人](https://serverfault.com/q/293217/402194)會說的話。
您的應用程序設計得很錯-*“您的後端就是產品,前端就是您足以為用戶建立客戶端”。
此外,是否要生根設備是用戶的事。對於沒有根源的抱怨根源的應用程序,我給予了1星評價。
我不確定您的安全研究人員怎麼了,但是我認為模擬器沒有什麼特別之處,它可以使root和常規設備的隱藏變得更容易。如果您使用Google的官方模擬器,則實際上根本無法植根它們(以及安裝了Play Services的模擬器)。
您知道,有些電話*供應商/運營商*不讓您*擁有*的電話紮根,但聽到軟件開發人員竭盡全力嘗試以這種方式進行區分也讓我沸騰了,這已經夠糟糕了!
您的應用為什麼要嘗試檢測根以及鑰匙串中存儲的秘密是什麼?
您存儲什麼秘密,它們授予什麼權限?
在2019年檢查root?
我不會很快趕上安全檢查員。如果他們提供了一份白皮書/安全策略,其中包括聲稱根檢測是其安全策略的一部分,那麼指出該說法是虛假的是完全合理的。他們不太可能保留他或她足夠的帳單來搜索整個應用程序,以確定它是否真的超出了“您的聲稱根檢測為您的應用程序增加安全性的說法是錯誤的”以外的問題。
我建議您查找“ Magisk”,它實際上是隱藏的根。Google的safetynet無法檢測到它。
可能是安全研究人員做了作業,並遵循了OWASP清單,其中包括“威脅”。不管實際的威脅模型如何,審計師可能只是遵循這些通用準則
如果您的應用程序無法在模擬器上啟動,則該模擬器已損壞,因此必須修復該模擬器。