最近要做PHONE 8平台安全的工作,组内有同事和微软内部的安全团队进行了交流,这里是部分交流结果.
1、WP8的安全策略,包括:
Trustworthy Hardware Malware Resilience Data Protection App Platform Security Access Control & Remediation
微软为WP8设计了贯穿Firmware、Secure UEFI、OS、App的完整安全体系,以可信引导/代码签名/应用沙箱/设备加密为基础,内建了安全的系统环境,并通过Windows Store审核每一个发布应用的安全性,防止恶意软件被安装到手机上。
并且,WP8的安全策略规定,所有敏感操作均需通过用户人工交互手工点击确认,不提供直接后台调用的能力(各种暗扣行为得到抑制)。
截至目前,WP8尚未被攻破,安全性较高,目前市场上也没有WP8平台的杀毒和安防软件(太安全了,安全厂商无需、也没有能力做出传统的杀毒防护产品)。
据XDA论坛华为的W1 被攻破了,印度也号称有人攻破了WP8,但没有公开资料流传。
2、任何一个需发布的应用(微软自己的应用除外),无论是公开发布,或是终端厂商预制,都需要上传到Windows Store,并通过审核,审核政策参考如下:
http://msdn.microsoft.com/zh-cn/library/windowsphone/develop/hh184841(v=vs.105).aspx
Windows Store审核过程中,包括签名认证、敏感信息扫描、恶意代码检测等内容,与我们的需求类似,这些微软都已经做了。
并且,在Windows Store上正式发布的应用,为微软私有加密格式,无法解包,第三方无法进行任何分析。
也就是说,我们只能在应用提交之后,上传到Windows Store之前的环节,才能对应用进行有限的分析。
3、一些测试工具,如网络抓包,短信监控等
由于WP8平台的权限控制非常严格,普通应用能够获取的API能力有限,一些底层的监控第三方应用根本不可能实现,因此市场上根本没有这些产品。
微软的研发团队有几个自己用的测试工具,未对外发布;如果和他们签署合作协议,他们可以考虑为我们申请相关授权,把这几个工具给我们。
4、后续工作
1)静态代码分析
业界有商用和开源的 .net 反编译工具(ILSpy、.NET Reflector等), 称能反编译80%左右的内容,可基于此完成应用权限分析、代码中敏感能力调用分析。
2)动态监控分析
在OS层面,没有可能实现监控,WP8不开放这些能力。
在应用层,开发者解锁环境下,利用反编译工具,在被测应用内注入监控代码,回编译后运行并监控应用行为。回编译的可行性有待研究,微软人员说思路上看可行,他们也没试过。
其它安全检测需求,因为WP8平台自身的安全性和封闭性,目前没有技术解决方案。
分享文章:WP8安全浅谈
网站路径:http://www.shufengxianlan.com/qtweb/news11/372111.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联