隨著移動(dòng)互聯(lián)網(wǎng)的火熱發(fā)展，以及IT消費(fèi)化給企業(yè)用戶帶來的巨大變革，使得移動(dòng)應(yīng)用市場也越發(fā)火熱起來。從最小的微型企業(yè)到最大的大型企業(yè)，幾乎所有的企業(yè)都想方設(shè)法要在移動(dòng)應(yīng)用領(lǐng)域分一杯羹，業(yè)界正在見證著一場聲勢浩蕩的移動(dòng)應(yīng)用開發(fā)熱潮。然而，在各種企業(yè)盲目地沖進(jìn)這塊處女地時(shí)，移動(dòng)開發(fā)人員感到有些擔(dān)心：由于移動(dòng)開發(fā)環(huán)境仍然處于起步階段，并沒有真正可行的標(biāo)準(zhǔn)來引導(dǎo)開發(fā)工作，可以說，這對于所有參與移動(dòng)開發(fā)領(lǐng)域的各方來說都是一次冒險(xiǎn)。

[[57689]]

最讓安全專家擔(dān)心的是快速的移動(dòng)開發(fā)周期以及缺乏移動(dòng)平臺(tái)相關(guān)的經(jīng)驗(yàn)導(dǎo)致開發(fā)者在面對移動(dòng)應(yīng)用程序時(shí)，將過去五年行業(yè)努力推行的各種安全開發(fā)原則都拋之腦后。

“快速的開發(fā)周期讓編程可以在很短的時(shí)間內(nèi)實(shí)現(xiàn)，從而導(dǎo)致安全性被忽略，安全成了一件很好但很難做到的事情，這種情況發(fā)生在大公司(看看Googlewallet：GoogleWallet爆漏洞支付帳號(hào)易被盜用)，也發(fā)生在剛剛起步的小公司，”應(yīng)用程序安全公司Cenzic工程總監(jiān)TylerRorabaugh表示，“當(dāng)Techcrunch宣布最熱門的新公司時(shí)，幾乎所有這些公司都缺乏安全編碼的做法，很少關(guān)注安全問題，除非真得出現(xiàn)了問題，大多數(shù)時(shí)間里他們甚至沒有意識(shí)到這些問題。”

據(jù)Rorabaugh表示，大型移動(dòng)平臺(tái)供應(yīng)商(例如蘋果和Google)現(xiàn)在才剛開始思考安全移動(dòng)編碼。

困難之處在于即使對于意識(shí)到風(fēng)險(xiǎn)并想要確保其移動(dòng)應(yīng)用程序安全性的大型公司而言，目前并不存在可行的開發(fā)標(biāo)準(zhǔn)，也沒有測試編碼是否存在漏洞的可用工具。

“我們的一些客戶正在開發(fā)移動(dòng)應(yīng)用程序，并準(zhǔn)備將程序介紹給他們的客戶，而我們會(huì)對這些應(yīng)用程序進(jìn)行審查以確保它們的安全性，”安全咨詢公司Protiviti公司執(zhí)行董事ScottLaliberte表示，“這需要我們來重新審視我們的應(yīng)用程序測試辦法，因?yàn)闇y試移動(dòng)應(yīng)用程序要比測試一般應(yīng)用程序要困難。確定你測試移動(dòng)應(yīng)用程序所面臨的主要風(fēng)險(xiǎn)和所需要的技術(shù)可能是一個(gè)挑戰(zhàn)，而缺乏標(biāo)準(zhǔn)則是另一個(gè)巨大挑戰(zhàn)。對于移動(dòng)領(lǐng)域而言，并不存在OWASP或者任何真正的編碼標(biāo)準(zhǔn)。”因此，充斥在市場上的所有移動(dòng)應(yīng)用程序都可能存在重大漏洞，可能讓企業(yè)和客戶處于風(fēng)險(xiǎn)之中。例如，Rorabaugh表示，移動(dòng)應(yīng)用程序開發(fā)人員并沒有測試移動(dòng)應(yīng)用程序在云端使用的移動(dòng)服務(wù)，并且這些移動(dòng)應(yīng)用程序中存在嚴(yán)重的加密漏洞，例如讓未加密的密碼保存在數(shù)據(jù)緩存文件中。事實(shí)上，去年八月，數(shù)字取證與安全公司viaForensic在報(bào)告中稱，在Android和iOS設(shè)備上運(yùn)行的消費(fèi)級應(yīng)用程序中有76%的程序?qū)⒚艽a以純文本格式保存。

“本地應(yīng)用程序?qū)⑻鄶?shù)據(jù)以未加密格式存儲(chǔ)在手機(jī)上，”他解釋說，即使這些密碼已經(jīng)被加密，現(xiàn)在攻擊者已經(jīng)擁有足夠的其他信息(例如社會(huì)安全號(hào)碼和信用卡信息)來套出你的密碼。

GoogleWallet就是這樣的例子，同樣也是在viaForensic公司的報(bào)告中，報(bào)告指出GoogleWallet將所有除信用卡信息外的敏感信息以純文本格式本地存儲(chǔ)在設(shè)備中。

最近也有一條這方面的新聞，某web分類供應(yīng)商zvelo公司的一名工程部員工輕松地破解了裝在智能手機(jī)上的GoogleWallet的PIN碼。

隨著企業(yè)推出越來越多涵蓋敏感信息和安裝支付系統(tǒng)(例如GoogleWallet)的應(yīng)用程序，他們需要對潛在風(fēng)險(xiǎn)進(jìn)行仔細(xì)考慮，Rorabaugh表示。

“不要因?yàn)槟阈枰M快推出一個(gè)應(yīng)用程序，就跳過了安全部分，應(yīng)該仔細(xì)檢查最容易出現(xiàn)風(fēng)險(xiǎn)的地方，”他說道，他還鼓勵(lì)企業(yè)使用動(dòng)態(tài)和靜態(tài)測試技術(shù)通過內(nèi)部和外部測試團(tuán)隊(duì)，同時(shí)測試移動(dòng)應(yīng)用程序的客戶端和服務(wù)部分。