隨著移動(dòng)通信和計(jì)算機(jī)通信技術(shù)的持續(xù)進(jìn)步,智慧校園逐漸發(fā)展起來,,移動(dòng)應(yīng)用也開始走向校園,。很多高校積極推進(jìn)智慧校園建設(shè),,借助移動(dòng)應(yīng)用打造“互聯(lián)網(wǎng)+校園”的智慧校園模式,,為師生提供更便捷的智慧校園服務(wù)。與此同時(shí),,校園移動(dòng)應(yīng)用的管理工作也成為信息化管理的重要組成部分,。
伴隨著高校移動(dòng)應(yīng)用(以下簡稱“校園APP”)的快速普及,其安全問題日益暴露,。
2017年9月,,吳中超等人在《中國教育網(wǎng)絡(luò)》發(fā)表的文章,闡述了對國內(nèi)20余所高校Android平臺(tái)校園APP進(jìn)行初步審計(jì)發(fā)現(xiàn)的諸多安全問題,。
其收集的Android平臺(tái)校園APP來自全國各地26所高校,,其中,華北及東北地區(qū)6所,、西北地區(qū)4所,、華東地區(qū)7所、中南地區(qū)5所,、西南地區(qū)4所,,涉及到9所“985工程”高校和14所“211工程”高校。
調(diào)查結(jié)果顯示,,出現(xiàn)0次或1次問題的APP數(shù)量僅為5個(gè),,涉及到的問題包含不限于缺乏加固保護(hù),、源代碼未混淆、WebView明文存儲(chǔ)等,。這些問題可以總結(jié)為程序源代碼安全,、本地?cái)?shù)據(jù)存儲(chǔ)安全、通信數(shù)據(jù)傳輸安全,、惡意防范攻擊能力等,,具體如圖1所示。
圖1 Android 平臺(tái)校園APP 安全調(diào)查結(jié)果
高校校園APP的發(fā)展
目前對校園APP尚沒有明確定義,。若從高校校園使用角度講,,對學(xué)生有著廣泛影響力的社交網(wǎng)絡(luò)APP或即時(shí)通訊APP可以歸類于校園APP,如微信,、QQ等,。
不同于上述面向社會(huì)大眾擁有廣泛用戶群體的APP,狹義的校園APP往往以特定高校的學(xué)生或是特定的學(xué)生為主題,,提供信息具有本地化,、實(shí)用性強(qiáng)、有一定時(shí)效性等特點(diǎn),。
本文研究的校園APP安全問題,,將具備如下服務(wù)特性的APP定義為校園APP:面向特定高校的學(xué)生和教職工,為師生提供本地化的學(xué)習(xí),、工作,、生活等信息的智能手機(jī)應(yīng)用程序,運(yùn)營管理者一般是高校相關(guān)部門的管理人員或在校學(xué)生,。
自2017年后,,校園APP迅速普及發(fā)展起來。“互聯(lián)網(wǎng)+”和智能終端的快速發(fā)展為高校校園APP提供了技術(shù)基礎(chǔ)和外部環(huán)境,;
同時(shí),,高校校園具備的潛在市場吸引著公司或高校學(xué)生中的創(chuàng)業(yè)者從事相關(guān)研發(fā)工作;新媒體下,,高校學(xué)生對信息需求的日益多元化為校園APP的發(fā)展提供了內(nèi)在驅(qū)動(dòng)力,;
與此同時(shí),高校學(xué)生自身的創(chuàng)造力和鼓勵(lì)創(chuàng)新創(chuàng)業(yè)的政策對校園APP也起到了催化作用,,故校園APP得以迅速發(fā)展起來。
目前,,校園APP提供的服務(wù)包含但又不限于校園資訊,、信息查詢、學(xué)業(yè)繳費(fèi),、生活服務(wù)等,,開發(fā)者有高校信息化建設(shè)的工作者,、學(xué)生及公司研發(fā)人員。
校園APP安全及研究現(xiàn)狀
校園APP快速普及的同時(shí),,其安全問題也逐漸凸顯,。
在技術(shù)上,開發(fā)者為高校定制校園APP等碎片化服務(wù)而忽略安全問題,;多數(shù)開發(fā)者的安全技術(shù)匱乏,,無法就移動(dòng)應(yīng)用從設(shè)計(jì)、編碼,、測試,、發(fā)布、更新等各個(gè)環(huán)節(jié)對安全風(fēng)險(xiǎn)進(jìn)行控制,。這些原因都可能導(dǎo)致校園APP在防攻擊,、防篡改、防病毒等方面安全防護(hù)能力較低,。
在管理上,,國內(nèi)Android市場缺乏安全監(jiān)管機(jī)制,并因Android平臺(tái)的開源與開放性,,校園APP市場需求大等一系列因素,,導(dǎo)致眾多高校校園APP出現(xiàn)諸多問題。
在校園APP出現(xiàn)的諸多安全隱患中,,程序源文件安全,、本地?cái)?shù)據(jù)存儲(chǔ)安全、網(wǎng)絡(luò)傳輸安全,、內(nèi)部數(shù)據(jù)交互安全,、惡意攻擊防范能力等,從多方面展示校園APP可能存在的安全風(fēng)險(xiǎn),,如圖2所示,。
圖2 校園APP 存在的安全隱患
國內(nèi)外研究多是闡述如何對大批量的應(yīng)用程序進(jìn)行檢測,但在高校校園的特殊業(yè)務(wù)場景下,,思考在碎片化業(yè)務(wù)服務(wù)中,,如何保護(hù)校園APP安全的研究較少。
本文根據(jù)北京大學(xué)醫(yī)學(xué)部開發(fā)校園APP時(shí)采取的措施,,從應(yīng)用程序源文件安全和數(shù)據(jù)安全兩方面闡述校園APP的安全保護(hù)方案,。
校園APP安全隱患研究
程序源文件安全隱患
應(yīng)用程序中含編碼階段的代碼包和配置文件,在Android開源的環(huán)境下,,如果未對應(yīng)用程序采取有效保護(hù)措施,,可能面臨被反編譯的風(fēng)險(xiǎn)。攻擊者可能使用下載工具對未經(jīng)過加固保護(hù)的應(yīng)用程序,、可執(zhí)行文件進(jìn)行反匯編,、反編譯或動(dòng)態(tài)調(diào)式等攻擊,;可能通過逆向法破解應(yīng)用程序的實(shí)現(xiàn)邏輯,比如獲取與服務(wù)器端的通訊方式,、加解密算法,、密鑰、軟鍵盤實(shí)現(xiàn)技術(shù)等,,造成算法被竊取,、文件被非法篡改或是程序接口被調(diào)用、篡改應(yīng)用程序內(nèi)容,、植入惡意收費(fèi)應(yīng)用或廣告SDK,、引誘下載其他應(yīng)用程序等。高校校園APP的開發(fā)者需保證應(yīng)用軟件包的完整性和可靠性,。
數(shù)據(jù)存儲(chǔ)與傳輸安全隱患
?。?)數(shù)據(jù)存儲(chǔ)與交互安全隱患
校園數(shù)據(jù)安全是高校信息化安全建設(shè)的重要組成部分。高校數(shù)據(jù)庫一般都部署在學(xué)校內(nèi)網(wǎng)的服務(wù)器中,,并且有專門的防火墻限制,,利用網(wǎng)絡(luò)層面進(jìn)行數(shù)據(jù)保護(hù)。而在使用移動(dòng)應(yīng)用的過程中,,如果開發(fā)者在AndroidManifest.xml文件中權(quán)限配置不當(dāng),,客戶端本地靜態(tài)數(shù)據(jù)如本地系統(tǒng)文件、本地業(yè)務(wù)數(shù)據(jù)等都可能被盜用,,造成用戶的敏感信息泄露,。
Android系統(tǒng)本身有四大組件:Activity、Service,、Broadcast Receive和Content Provider,。Activity組件是Android程序與用戶交互的界面;Service組件是后臺(tái)運(yùn)行的服務(wù)進(jìn)程,;Broadcast Receiver組件對外部事件進(jìn)行過濾接收,,并根據(jù)消息內(nèi)容執(zhí)行響應(yīng);Content Provider組件是應(yīng)用程序之間共享數(shù)據(jù)的容器,,可以將應(yīng)用程序的指定數(shù)據(jù)集提供給第三方APP,。
不同的應(yīng)用程序或進(jìn)程之間可能存在共享數(shù)據(jù),然而應(yīng)用程序中不同的數(shù)據(jù)具有嚴(yán)格的訪問權(quán)限,。如果訪問權(quán)限設(shè)置不當(dāng),,應(yīng)用程序中的數(shù)據(jù)可能被其他程序直接訪問或修改,導(dǎo)致用戶的敏感數(shù)據(jù)泄露,,或應(yīng)用程序被惡意篡改賬號(hào),,盜取賬號(hào)信息等。若組件中設(shè)置了導(dǎo)出權(quán)限,,會(huì)存在登錄界面被繞過,、敏感數(shù)據(jù)泄露、數(shù)據(jù)庫SQL被注入的風(fēng)險(xiǎn),。
?。?)數(shù)據(jù)傳輸安全隱患
客戶端與服務(wù)器之間傳輸數(shù)據(jù)通常遵循通信協(xié)議指定的內(nèi)容格式和內(nèi)容類型,如果未對傳輸數(shù)據(jù)加密,,傳輸數(shù)據(jù)很有可能被還原成網(wǎng)絡(luò)層的數(shù)據(jù)包進(jìn)行解包并分析,,暴露通信過程中的各種關(guān)鍵數(shù)據(jù)。
在使用HTTPS協(xié)議時(shí),,客戶端需對服務(wù)器身份進(jìn)行完整性校驗(yàn),,即驗(yàn)證服務(wù)器是真實(shí)合法的目標(biāo)服務(wù)器。如果沒有校驗(yàn),,客戶端可能與仿冒的服務(wù)器進(jìn)行通信鏈接,,即造成“中間人攻擊”。
當(dāng)客戶端的WebView組件訪問使用HTTPS協(xié)議加密的URL時(shí),,如果服務(wù)器證書校驗(yàn)錯(cuò)誤,,客戶端應(yīng)該拒絕繼續(xù)加載頁面。如果重載WebView的onReceivedSslError()函數(shù)并在其中執(zhí)行handler.proceed(),,客戶端可以繞過證書校驗(yàn)錯(cuò)誤繼續(xù)訪問此非法URL,,將導(dǎo)致“中間人攻擊”。攻擊者冒充服務(wù)器與手機(jī)客戶端進(jìn)行交互,,同時(shí)冒充手機(jī)客戶端與服務(wù)器進(jìn)行交互,,充當(dāng)中間人轉(zhuǎn)發(fā)信息的時(shí)候,也有可能竊取手機(jī)號(hào),、賬號(hào),、密碼等敏感信息。
實(shí)踐
解除程序源文件安全隱患
應(yīng)用開發(fā)者可以使用自己開發(fā)的加固工具或是第三方的加固工具,,來強(qiáng)化應(yīng)用程序的安全能力,。
加固技術(shù)可以在不改變應(yīng)用客戶端代碼的情況下,將針對應(yīng)用程序的各種安全缺陷保護(hù)技術(shù)集成到應(yīng)用客戶端中,,提供應(yīng)用開發(fā),、打包、發(fā)布,、運(yùn)行全生命周期的安全,,并在文件中設(shè)置防二次打包的配置,有效防止針對移動(dòng)的反編譯,、二次打包,、內(nèi)存注入、動(dòng)態(tài)調(diào)試等惡意攻擊行為,全面保護(hù)應(yīng)用程序安全,。
北京大學(xué)醫(yī)學(xué)部在開發(fā)校園APP時(shí),,研發(fā)人員采用加固方式保護(hù)Android版本的程序源文件安全。
圖3 APK 文件加固方案
對APK文件加固后,,可以有效保護(hù)Android應(yīng)用程序不被反編譯,。同時(shí),代碼混淆通過將Java代碼中的方法名,、變量名,、類名、包名等元素名稱改成毫無關(guān)聯(lián)且無意義的名字,,或?qū)唵蔚倪壿嫹种нM(jìn)行混淆,,使攻擊者難以找到函數(shù)調(diào)用的內(nèi)容,無法掌控APP內(nèi)部實(shí)現(xiàn)邏輯,,增加逆向工程和破解的難度,。
除使用加固工具外,北京大學(xué)醫(yī)學(xué)部還針對打包上線的應(yīng)用程序,,將Android版本應(yīng)用發(fā)布在校園內(nèi)的服務(wù)器上,;因iOS應(yīng)用必須通過APP Store審核,故將iOS版本應(yīng)用發(fā)布在APP Store上,,同時(shí)向用戶公布官方下載路徑,。由此可以有效避免校園應(yīng)用被植入其他應(yīng)用程序,防止APP被破解,、被盜版,,防止惡意推廣安裝其他應(yīng)用軟件,避免用戶安裝仿冒軟件等,。
解除校園APP數(shù)據(jù)安全隱患
?。?)解除數(shù)據(jù)存儲(chǔ)與交互的安全隱患
如上文所說,校園APP在數(shù)據(jù)存儲(chǔ)與交互時(shí)存在安全隱患,。目前,,高校大都使用統(tǒng)一身份認(rèn)證,故登錄時(shí)的賬號(hào)和密碼都不會(huì)在本地存留,。應(yīng)在考慮數(shù)據(jù)安全時(shí)重點(diǎn)考慮業(yè)務(wù)數(shù)據(jù)存儲(chǔ)安全,、交互數(shù)據(jù)安全和傳輸數(shù)據(jù)安全。
解除Webview明文存儲(chǔ)密碼風(fēng)險(xiǎn),。其他惡意程序也可能通過提權(quán)或者root的方式訪問Webview數(shù)據(jù)庫,,竊取用戶的用戶名信息及密碼。北京大學(xué)醫(yī)學(xué)部在開發(fā)APP時(shí)通過設(shè)置WebView.getSettings()中的方法setSavePassword(false)關(guān)閉Webview組件的保存密碼功能,。
關(guān)閉必要組件的導(dǎo)出權(quán)限,。限制AndroidManifest.xml中的Activity、Broadcast Receiver、Content Provider,、Service組件導(dǎo)出權(quán)限,,對于須導(dǎo)出的組件必須限制于授權(quán)用戶或者應(yīng)用組件。
采用顯式方式調(diào)用Intent組件,。Intent通常用于Activity,、Service,、Broadcast Receiver等組件之間進(jìn)行信息傳遞,,包括發(fā)送端和接收端。當(dāng)使用隱式的Intent調(diào)用時(shí),,并未對intent消息接收端進(jìn)行限制,,因此可能存在該消息被未知的第三方應(yīng)用劫持的風(fēng)險(xiǎn)。Intent消息被劫持,,可能導(dǎo)致用戶的敏感數(shù)據(jù)泄露,,或者惡意程序執(zhí)行等風(fēng)險(xiǎn)。
?。?)解除數(shù)據(jù)傳輸安全隱患
采用HTTPS協(xié)議傳輸數(shù)據(jù),。北京大學(xué)醫(yī)學(xué)部在開發(fā)校園APP時(shí),針對業(yè)務(wù)敏感數(shù)據(jù),,采用HTTPS 傳輸協(xié)議,,加入了SSL(Secure Socket Layer)子層實(shí)現(xiàn)的HTTPS協(xié)議可確保數(shù)據(jù)在網(wǎng)絡(luò)上加密傳輸,即使傳輸數(shù)據(jù)被截獲,,也無法解密和還原,,保護(hù)數(shù)據(jù)在傳輸中的安全。
HTTPS需校驗(yàn)服務(wù)器,。Android允許開發(fā)者重定義證書驗(yàn)證方法,,重定義之后,若不對證書進(jìn)行正確的校驗(yàn),,同樣可能會(huì)導(dǎo)致“中間人攻擊”,。所以如果開發(fā)者重定義了證書驗(yàn)證方法,還需要對證書進(jìn)行校驗(yàn),。
禁止Webview組件繞過證書校驗(yàn),。攻擊者冒充服務(wù)器與手機(jī)客戶端進(jìn)行交互,同時(shí)冒充手機(jī)客戶端與服務(wù)器進(jìn)行交互,,充當(dāng)中間人轉(zhuǎn)發(fā)信息的時(shí)候,,也有可能竊取敏感信息。所以WebView繞過證書校驗(yàn)時(shí),,也可能會(huì)造成“中間人攻擊”,。
采用安全加密算法并避免密鑰硬編碼。AES/DES是常用的兩種對稱加密算法,其工作模式有ECB,、CBC,、CFB和OFB。當(dāng)其使用ECB或OFB工作模式時(shí),,加密數(shù)據(jù)可能被選擇明文攻擊CPA破解,;密鑰硬編碼也易造成加密算法被破解,導(dǎo)致客戶端隱私數(shù)據(jù)泄露,,加密文件破解,,傳輸數(shù)據(jù)被獲取,“中間人攻擊”等后果,,造成用戶敏感信息被竊取,。
(3)提升惡意攻擊防范能力
長遠(yuǎn)角度來講,,沒有絕對的安全,。校園APP除了應(yīng)用程序本身的問題外,還需注意防護(hù)外界的惡意攻擊,,即在遵守應(yīng)用程序開發(fā)規(guī)范的前提下,,不斷提升自身防護(hù)能力,做好應(yīng)用程序的安全防護(hù)工作,,排除安全隱患,。北京大學(xué)醫(yī)學(xué)部在迭代更新校園APP時(shí),都會(huì)使用業(yè)界安全公司的安全檢測服務(wù)對新發(fā)版的應(yīng)用進(jìn)行安全檢測,,避免因增加新的業(yè)務(wù)服務(wù)帶來安全問題,。
本文從探索高校校園APP的安全威脅出發(fā),調(diào)研了目前高校校園APP的安全現(xiàn)狀,,分析高校校園APP存在安全隱患的原因,,繼而根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律總結(jié)高校校園APP應(yīng)該具備的安全能力,并依據(jù)技術(shù)手段闡述如何從程序源文件和數(shù)據(jù)兩方面保護(hù)應(yīng)用程序,。
結(jié)合學(xué)校開發(fā)校園APP時(shí)的具體實(shí)踐,,淺談高校校園APP的安全保護(hù)方案,提升研發(fā)人員和高校信息化管理人員的安全意識(shí),,為高校校園APP建立一道防護(hù)屏障,,推動(dòng)建立高校校園APP的安全生態(tài)圈。
(本文刊載于《中國教育網(wǎng)絡(luò)》雜志2020年4月刊,,作者:魏仿,,單位為北京大學(xué)醫(yī)學(xué)部信息通訊中心,責(zé)編:樸藝娜)
