移动应用热修复终结:这对企业安全意味着什么?

日期:2017-6-5作者:Kevin Beaver

【TechTarget中国原创】

苹果公司最近开始通知部分移动应用开发人员,称其违反了苹果的使用条款,主要是因为这些开发人员通过Rollout.io或者JSPatch框架使用热修复。

在写给开发人员的电子邮件中,苹果公司表示:“您的应用、扩展和/或链接框架似乎包含不合规代码,这些代码可在App Review批准后更改应用的行为或功能,这不符合Apple Developer Program License Agreement和App Store Review Guideline 2.5.2。”

2.5.2规定:“应用程序包应该为自包含,不得在指定容器区域外读取或写入数据,也不得下载、安装或执行代码,包括其他iOS、WatchOS、MacOS或TvOS应用。”

热修复是对最终用户透明的远程更新过程,在大多数情况下,这对开发人员和最终用户是很好的方法,例如当移动应用漏洞需要紧急修复时。然而,Apple App Store这样的应用生态系统并不喜欢热修复,因为应用可在苹果的App Store审查后更改应用行为或功能。这可能导致恶意开发人员或中间人攻击者根据需要注入或更改代码,从而避开苹果的监督。

基于笔者对恶意代码的了解,再加上想要利用系统安全和隐私漏洞的攻击者和政府机构的数量,笔者认为这并不能责怪苹果公司。随着App Store的安全性不断受到审查,允许开发人员使用热修复可能会破坏苹果正试图为确保用户最佳利益而在进行的工作。

当苹果允许这种类型的修复时,可能没有考虑恶意开发者滥用的情况。鉴于移动应用用户的总数,这只影响着相对较少的开发人员,但这是苹果为最大限度减少总体风险作出的业务决策。

那么,这个改变对你的企业环境会有什么影响?

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

手持/移动设备安全>更多

相关推荐

  • 如何检测出定制服务器中预装的恶意软件?

    定制服务器意味着企业需要对更多硬件安全承担责任,并更多地依靠定制制造商,而不是传统服务器供应商……

  • 如何用移动应用评估来提高企业安全性?

    面对海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分……

  • 为何Windows版QuickTime突然寿终正寝?

    在QuickTime中两个零日漏洞被披露、且苹果公司突然停止支持该软件后,美国国土安全部和趋势科技公司发布安全公告建议用户卸载Windows版QuickTime。苹果公司随后宣布Windows版QuickTime寿终正寝……

  • 移动认证安全简要指南

    在移动电话使用的早期阶段,其管理和安全保证都遵循着企业标准。如今,移动设备数量激增,并由不同的人和企业所使用和拥有。然而,许多运行着关键任务的设备是由不同的安全供应商和技术来保障其安全的。

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心