2019独角兽企业重金招聘Python工程师标准>>>
由于Android开源的环境,导致Android的整体环境都存在很多不安全的因素,同时用户在移动APP客户端的便捷应用,也给用户带来了巨大的安全隐患。未经过移动服务安全加固的APP存在被静态反编译、恶意篡改、二次打包、动态钓鱼攻击等多个安全隐患。静态破解可让黑客直接逆向出客户端所有的功能代码、加密算法以及与服务器通信的相关方法及URL等敏感信息。黑客可以随意进行恶意代码注入、篡改欺骗用户甚至攻击服务器;动态攻击可让黑客进行相关敏感数据的窃取,如用户核心账户信息、服务器端相关信息等。
谷歌公司虽然从硬件方面强化设备安全性,通过TrustZone来实现他们的目的。TrustZone是系统内核中的一个独立于内核中其它部分工作的特殊部分,负责处理最重要和敏感的操作(比如数据加密)。安全性得到一定的提升,用户将可以在设备上执行设备认证、设备完整性检查、设备绑定以及其他复杂的操作。但是Android在安全保护方面依然一直受限,因为其对潜在的整合缺少控制权。而且安卓系统的破碎性也让用户更难获得最新的系统更新。
在大多数iOS应用的开发者看来,iOS系统拥有相对封闭的环境和严格的审核制度,每个app有着沙盒路径,与安卓应用相比十分安全,无需进行安全保护。
但是危险遍布于开发的各个阶段,同时对安全的重视程度也间接提现了一个开发者的能力和意识,iOS系统本身漏洞的曝光新闻一直层出不穷,如mach_portal攻击链、阿拉伯字符漏洞等等。数据调查分析公司arxan发布了一个让人吃惊的数据,该数据显示iOS平台排名前100的付费应用超过90%被破解。
在这种形式下,移动应用开发者需要改变观念,除了对安卓应用进行加密保护外,还需要对iOS应用进行加密保护。
几维安全在2016的APP年度分类排行榜,选取视频、理财、音乐、电商、新闻、社交、自拍、工具以及游戏九类APP榜单共计200个APP产品进行了检测。
据检测结果,200个APP榜单产品,漏洞总数达到上千个,平均每个APP含有12个漏洞。分行业计,游戏行业所含漏洞数最高,平均漏洞数目超过15个,安全隐患相对较大;金融理财、电商、社交这三个行业的平均漏洞数都接近或超过13个,同样需要高度重视。
这些被检测的APP中近70%面世时间达3-5年,具备成熟的市场口碑,当前用户规模和资产规模都高于同行业其他产品。它们高于普通APP的商业价值也更容易吸引黑产注意,如果遭遇安全事故,对APP有形的资产和无形的品牌都将造成严重损失。几维安全建议APP开发者们加强移动服务安全工作,切实提高产品的安全性,更好地维护APP用户利益和公司的品牌形象