移动终端软件开发规范 - 2013年4月2日.docVIP

移动终端应用安全开发规范 前 言 本规范为公司第一次发布，为规范公司移动终端应用软件安全开发，特制定本规范。 本标准由安全平台部和运营管理部负责起草、解释，自发布之日起实施。 本标准主要起草人： 本标准主要审核人： 本标准批准人： 本标准首次发布日期： 本标准适用范围：全公司  目录 1 目的 4 2 适用范围 4 2.1 安全设计 4 2.1.1 用户隐私保护 4 2.1.2 文件权限保护 5 2.1.3 网络通讯保护 5 2.1.4 登录认证安全 5 2.1.5 会话标识符保护 5 2.1.6 运行时解释保护 6 2.1.7 最低授权策略 6 2.1.8 检测UGC内容 6 2.1.9 组件权限保护 6 2.1.10 通信频率限制 6 2.1.10 安全安装、升级功能 7 2.1.10 禁止使用企业证书对外发布软件 7 2.2 第三方库安全问题 7 2.3 Web业务安全要求 7 3 流程和管理 7 3.1 安全检查流程 8 3.2 安全接口人 8 4 安全检查chekclist 8 目的 随着公司业务发展壮大，手机应用越来越多，软件开发过程中会出现应用安全问题，对用户、产品和公司带来损失。为了避免已知安全问题的发生、减少安全漏洞、保障公司移动应用业务安全，制定本规范。 适用范围 移动终端软件业务指公司自主研发的手机客户端软件产品（如手机QQ、手机QQ浏览器），平台包括但不限于以下平台：IOS、Android、Symbian、Windows Phone、MTK。 安全设计 移动终端产品需满足以下安全策略： 用户隐私保护 为保护用户的隐私不被泄露和利用，应做到： 1、不允许本地保存加密或明文的用户密码。 2、对聊天记录、关系链、银行账号等用户隐私进行加密，如在使用SQLite数据库的情况下建议使用SQLCipher。当结束使用时，应安全擦除内存中的相关数据，避免被恶意窃取。 3、不允许外部明文保存系统文件、配置文件，如果必须要存储到外部设备，则在每次使用前判断它是否被篡改。 4、通过短信注册或接收密码的方法，可能引起假冒注册、恶意密码重置、密码窃取等攻击，同时与手机号关联的账户还可能产生增值服务，造成更大的风险。建议实现方式为通过Internet来验证。 5、建议对非文字内容的用户隐私如图片、视频、音频文件建议进行加密（资源消耗比较大）。 6、建议在敏感信息区域禁用自动纠正功能、复制粘贴功能等。 文件权限保护 应用所在目录、特别是保存有个人隐私信息等敏感内容所在的文件，其权限必须为不允许其他组成员读写，避免第三方软件获取、篡改软件。同时对手机系统的敏感目录及文件进行权限控制，防止被第三方恶意软件利用访问应用程序根目录之外的文件，并通过目录遍历获取敏感信息。 对于存储到外部设备（如SD卡）的敏感信息，需要加密后后才能进行相关存储操作，避免信息泄露。 网络通讯保护 对于在网络传输中的敏感信息要进行加密处理，避免明文，同时尽量使用Transport Layer Security (TLS) 或者 Secure Sockets Layer (SSL)等方式进行网络传输，防止受到中间人攻击。 应用默认不监听端口。若存在业务需求（如文件传输等），可临时开放端口，但开放端口需要加入授权认证（如验证码认证等）。 登录认证安全 登录过程使用wtlogin，避免登录密码被恶意获取。 会话标识符保护 会话标识符的有效期不应过长，同时对于标识符的生成不应与设备ID（如IMEI、IMSI等）相关联，最好采用随机生成的方式，防止被黑客预测到。对于会话验证应采取服务端验证的方式，防止在本地被绕过。 登录成功后，会话ID必须重新生成，避免会话固定漏洞。 运行时解释保护 对于嵌有解释器的软件，应对用户和输入数据进行有效检测，必要时可定义一个全面的转义语句，以防止被注入恶意代码（XSS、SQL注入以及其它任意代码执行漏洞）。 对于支持网页浏览功能的程序，应对URL地址进行过滤（过滤@等特殊字符），防止存在URL欺骗漏洞。 最低授权策略 在手机平台（特别是Android平台）上，以应用能执行的最低权限来运行，尽量不授权代码或者软件以 roo#PRIVACY 第三方库安全问题 外部开源代码的安全性不可控，不建议使用第三方库。 在必须引入第三方库的情况下，需经过安全平台部应用运维安全中心评估应急组确认该库无历史漏洞并备案，同时应及时跟踪所有在移动应用软件中所使用的第三方库/API的安全补丁行为，以便及时修补漏洞。 第三方库带来的法律风险请咨询法务部同事。 Web业务安全要求 对于Web类的手机业务，复用已有的《上线前安全检查规范》和《开发安全规范》，不在本规范中规定。 流程和管理 业务上线前需要遵守安全检查流程，将软件提交安全平台部检查，同时指定安全接口人，