我正在研究OWASP 十大移动风险,以便在开发移动应用程序时牢记安全问题。他们提供了有关 Android 和 iOS 平台的非常好的信息。一些值得注意的包括客户端注入、iOS 滥用 URL 方案、Android 滥用意图、击键记录、屏幕截图/iOS 背景、日志等。
这些非常有用,现在我想知道Windows Phone 7 中是否存在任何新漏洞,而 Apple iOS 和 Google Android 中不存在这些漏洞。
我的要求是,我需要构建有点像该死的易受攻击的 WP7 应用程序,以教育我项目中的 WP7 开发人员为我们的客户构建安全的应用程序。
OWASP 已经为 iOS 和 Android 开发人员构建了 iGoat(iOS 应用程序)和 DroidGoat(Android 应用程序)。我没有看到任何适用于 Windows Phone 7 的此类应用程序。
目前 WP7 似乎是一个非常安全的操作系统。虽然我确信它有漏洞,但这些漏洞还没有被利用。有趣的是,AVG 为 WP7 发布了一款防病毒/恶意软件应用程序。这是从市场上撤下的,因为它实际上并没有做任何事情,因为手机还没有病毒!
http://www.winrumors.com/microsoft-pulls-avg-antivirus-windows-phone-app-from-the-marketplace/
最近发现了一个 SMS 漏洞:
http://nakedsecurity.sophos.com/2011/12/14/windows-phone-7-5-susceptible-to-sms-hack/
话虽如此,仍然需要对开发人员进行安全教育。您当然可以构建一个具有自身安全漏洞的应用程序,例如未能保护用户数据。
如果 Windows Phone 7 中存在任何新漏洞
实际上,我敢说也没有旧的。Android 上的大多数安全问题是由 110% 更改系统的能力引起的。Windows Phone 没有意图,不允许进程检查或访问原始文件系统。
正如 Colin 所说,可能发生的安全问题与数据处理有关。例如,可以通过越狱设备来检查隔离存储,因此您可以从隔离存储中读取未加密的密码(或其他个人数据)。
但是,要越狱设备,您需要对其进行物理访问。即使设备已越狱,您也无法远程安装用于检查隔离存储的应用程序。它只能通过USB完成。