2013-08-07 13:36:43 来源:中国软件网
最近国际上为信息安全监听事件而闹得沸沸扬扬,贝尔实验室的工作人员研究针对目前苹果商店上的企业级移动办公OA类型应用进行了一次评测。这种类型的应用一般都是涉及到企业的内部信息,信息包括企业的销售信息、客户信息、流程审批、财务数据等,这些数据都将在公网上流通。手机app是否针对数据进行加密处理会成为泄密的重要原因,甚至引起黑客的破解非法登陆。
企业移动信息化的开发类型很多,有委托定制、Web app模式、MAStudio移动中间件模式等等。一般用户都认为只要是手机安装客户端模式会比较安全,客户端模式相对于wap网页模式安全些,但是,打开手机就是应用,应用背后却还是一片黑,贝尔实验室的工作人员教你如何通过最简单的工具让app的安全性立刻现形。
首先你需要下载Ethreal工具并且在本机进行安装,启动Ethreal后设置本机为移动网关代理服务然后开始捕获。
启动手机客户端app,默认采用输入用户名aaa,密码123 进行黑盒登陆,这样就可以详细的查看到app客户端和服务器的交互过程。贝尔实验室的工作人员随机从苹果商店中下载了如下类型的app进行测试。
采样一:中石化森美移动办公
地址:https://itunes.apple.com/us/app/zhong-shi-hua-sen-mei-yi-dong/id597795303?mt=8
系统简介:系统包括及时收到重要消息、流程管理,查看动态消息,浏览相关新闻信息,方便获得通讯信息,可以让工作生活变得便捷,流畅。
测试表现:系统采用了jabber进行协议交互,数据基本进行加密处理,表现良好。
采样二:掌上海航移动办公平台
地址:https://itunes.apple.com/cn/app/zhang-shang-hai-hang/id394150747?mt=8
系统介绍: ”掌上海航移动办公平台”面向海航的广大客户提供更便捷高效的移动办公服务,包括公文签批、文件查询等功能。
测试表现:系统采用明文协议,只对登陆密码进行了加密处理,存在安全隐患。
采样三:南海移动OA2012
地址:https://itunes.apple.com/us/app/nan-hai-yi-dongoa2012/id554553293?mt=8
系统介绍:佛山市南海区信息网络中心为南海电子政务及信息化建设提供技术支持,该程序是在南海区智能协同办公平台的基础上为IPHONE客户提供移动应用扩展,实现待办事项、协同事项、公文管理、通讯录等功能。
测试表现:系统采用了HTTPS加密协议,整个协议和数据都进行了加密处理,加密强度高。
采样四:宝钢在线移动平台
地址:http://www.mastudio.org/iphone/enterprise/
系统介绍:这是宝钢奉献给广大钢材用户的自助终端,通过简洁的手机界面,您可以了解宝钢价格行情,选购钢材资源,还可以跟踪合同进程,管理资金账户。该系统基于MAStudio移动中间件开发而成,技术让生活更轻松,有爱的宝钢与您共享移动商务的便利。
测试表现:系统采用了比较强的3DES加密体系,整个过程看不出任何协议和数据,加密强度较高。
采样五:GALANZ格兰仕移动外勤
地址:https://itunes.apple.com/us/app/ge-lan-shi-yi-dong-wai-qin/id647775660?mt=8
系统介绍:格兰仕集团是世界级综合性、领先性家电集团,格兰仕移动外勤应用是为外勤人员工作管理使用:主要包括通讯录、通知、培训、建议等功能。
测试表现:系统是明文协议,明文用户和名为密码登陆,未对安全做任何处理。
总结:
以上测试应用从苹果商店任意抽取,从抽查测试结果来看安全传输的方式是多样的,有的的应用安全体系还是很好的。有的应用安全隐患比较大,特别是采用明文协议的APP,更有甚者采用明文密码。
贝尔实验室的工作人员列出这些基本测试,希望能够引起移动应用开发者和用户对安全的重视。移动应用的安全不是靠方案写一下就存放到抽屉里了,它是踏踏实实存在于我们的无线网络中。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
