在开发移动应用程序时,我一直在考虑 OWASP Top 10 Mobile Risks 以了解安全问题 . 他们提供了有关Android和iOS平台的非常好的信息 . 一些值得注意的包括客户端注入,iOS滥用URL方案,Android滥用意图,击键记录,截图/ iOS背景,日志等 .
这些非常有用,现在我想知道 if there are any new vulnerabilities that exist in Windows Phone 7 ,Apple iOS和Google Android中没有 .
我的要求是,我需要 Build 一个像 Damn Vulnerable WP7 App 来教育我的项目中的WP7开发人员为我们的客户构建安全的应用程序 .
OWASP已经为iOS和Android开发人员构建了iGoat(iOS应用程序)和DroidGoat(Android应用程序) . 我没有看到任何Windows Phone 7的应用程序 .
2 回答
目前WP7似乎是一个非常安全的操作系统 . 虽然我确信它有漏洞,但尚未被开发利用 . 有趣的是,AVG为WP7发布了一个反病毒/恶意软件应用程序 . 这是从市场上撤下来的,因为它实际上没有做任何事情,因为手机还没有病毒!
http://www.winrumors.com/microsoft-pulls-avg-antivirus-windows-phone-app-from-the-marketplace/
最近发现了一个短信漏洞:
http://nakedsecurity.sophos.com/2011/12/14/windows-phone-7-5-susceptible-to-sms-hack/
话虽如此,仍然需要向开发人员介绍安全性 . 当然,您可以通过例如未能保护用户数据来构建具有其自身安全漏洞的应用程序 .
实际上,我敢说也没有旧的 . Android上的大多数安全问题都是由于系统更改率达到110%所致 . Windows Phone没有意图,不允许进程检查或访问原始文件系统 .
正如科林所说,那里可能出现的安全问题与数据处理有关 . 例如,可以通过越狱设备来检查隔离存储,因此您可以从隔离存储中读出未加密的密码(或其他个人数据) .
但是,要越狱设备,您需要对其进行物理访问 . 而且,即使设备越狱,也无法远程安装用于检查隔离存储的应用程序 . 它只能通过USB完成 .