隨著移動應(yīng)用使用率的大幅增長，其被攻擊的風(fēng)險也在增加。根據(jù)Gartner的一項研究，“75%的移動應(yīng)用程序?qū)o法通過基本的安全測試”。大多數(shù)企業(yè)主認(rèn)為移動應(yīng)用不容易受到網(wǎng)絡(luò)攻擊。然而，對于移動APP黑客已經(jīng)總結(jié)出方便有效的攻擊方法與工具腳本，保護移動應(yīng)用已經(jīng)成為迫在眉睫的首要任務(wù)。

根據(jù)大數(shù)據(jù)資訊機構(gòu)HPE(慧與)的一項研究中，對600多家公司的2000多個移動應(yīng)用進(jìn)行了測試，結(jié)果如下:

• 35%的應(yīng)用程序通過HTTP發(fā)送用戶名和密碼， 18%通過SSL/HTTPS協(xié)議進(jìn)行加密傳輸用戶名與密碼。
• 75%的應(yīng)用程序沒有使用密文來存儲移動設(shè)備上的數(shù)據(jù)。
• 71%的應(yīng)用程序沒有使用安全加固產(chǎn)品。

APP安全威脅分類

在討論如何保護移動應(yīng)用程序免受攻擊之前，讓我們先簡要概述一下常見的APP應(yīng)用程序安全威脅。

1. 來自PC端的威脅

許多APP允許用戶從PC上下載，然后將其上傳到移動設(shè)備上，這會造成跨設(shè)備的威脅。

2. 安卓移動應(yīng)用線上平臺存在風(fēng)險

移動應(yīng)用開發(fā)平臺審核審計參差不齊，多達(dá)90%的移動應(yīng)用程序存在漏洞。在iOS設(shè)備方面，蘋果公司可做相對嚴(yán)格的安全準(zhǔn)入審計。相比之下，安卓設(shè)備由于設(shè)備類型、app商店安全性標(biāo)準(zhǔn)不統(tǒng)一、需要覆蓋的安卓版本過多、開源等等特性，安卓APP往往存在更多的安全風(fēng)險。

3. 來自IOT設(shè)備的風(fēng)險

萬物互聯(lián)的時代下，物聯(lián)網(wǎng)主要目的是收集用戶數(shù)據(jù)，利用這些數(shù)據(jù)提供更好的用戶體驗。物聯(lián)網(wǎng)設(shè)備往往是通過安卓app進(jìn)行控制操作，甚至有些物聯(lián)網(wǎng)設(shè)備原本就是安卓操作系統(tǒng)。安卓應(yīng)用安全漏洞會給設(shè)備帶來了難以控制的安全風(fēng)險。

4. 手機病毒

移動設(shè)備處于被惡意軟件、木馬、病毒和間諜軟件攻擊的高風(fēng)險中，從而使黑客能夠竊取數(shù)據(jù)。

5.未授權(quán)訪問

破解移動app，使得未經(jīng)授權(quán)的用戶可以訪問您的社交媒體網(wǎng)絡(luò)、電子郵件帳戶和應(yīng)用程序。

6. 黑產(chǎn)

黑客利用安卓手機開源等特性，分析移動APP，利用改機軟件，修改系統(tǒng)信息偽造自己的身份。從而欺騙APP的身份認(rèn)證等環(huán)節(jié)，達(dá)到薅羊毛等目的。

如何保護您的移動應(yīng)用程序

看完了上述移動應(yīng)用的威脅之后，我們來簡要了解一下應(yīng)對措施。

1. 靜動態(tài)保護

移動應(yīng)用程序開發(fā)階段，確保使用安全的編譯腳本與編譯選項，混淆代碼讓黑客無法獲取核心邏輯，確保使用安全的第三方庫，對每行代碼進(jìn)行安全審計。黑客通常會通過審計逆向偽代碼來發(fā)現(xiàn)漏洞并控制、訪問你的應(yīng)用程序，獲取手機或應(yīng)用的敏感個人信息等。

除此之外，需要防止app被動態(tài)調(diào)試與分析，加入防調(diào)試機制。對APP定期進(jìn)行模糊測試，確保其外部接口不會被入侵。尋找強有力的第三方安全測試公司進(jìn)行檢測也是一種好的選擇。

2. 增加身份認(rèn)證算法強度

接口身份認(rèn)證和授權(quán)為應(yīng)用程序的登錄增加了安全性。確保APP接口只提供對APP重要功能的訪問。認(rèn)證部分全部轉(zhuǎn)移線上去運算，本地不要出現(xiàn)算法邏輯，關(guān)鍵證書內(nèi)容。增加身份認(rèn)證因子，可以采用手機端基本信息作為證書生成的重要因子。

3. 保證web/后端安全

實現(xiàn)APP安全，請首先確保在服務(wù)器安全，防止未經(jīng)授權(quán)的訪問以保護機密數(shù)據(jù)。對服務(wù)器端端所有接口要進(jìn)行模糊測試。

可以使用容器化后端部署保護數(shù)據(jù)和文檔。此外，需要經(jīng)過認(rèn)證機構(gòu)滲透測試，其結(jié)果應(yīng)符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。通信手段需使用TLS、VPN和SSL等進(jìn)行加密，防止第三方中間人攻擊等。

4. 安全支付

無論你是在網(wǎng)上提供收費服務(wù)，還是在網(wǎng)上銷售一些產(chǎn)品，都必須有一個安全的支付網(wǎng)關(guān)。需要將支付系統(tǒng)和客戶端之間的敏感通信增加多因素標(biāo)記、加密等等。

5. 威脅情報平臺

隨著移動設(shè)備的增加，威脅類別也正在迅速演變，我們不可能預(yù)防任何的威脅。但是，您可以開放Web安全應(yīng)急響應(yīng)平臺幫助處理移動威脅。

此外，APP廠商應(yīng)該告知用戶，在他們的設(shè)備上APP應(yīng)用廠商將安裝一個額外的移動安全sdk探針。針對手機基本信息、未知的事件等進(jìn)行采集，上報到您的威脅情報平臺。此外，如果你的應(yīng)用程序出現(xiàn)任何安全漏洞，sdk探針也可以通知你。

總結(jié)

企業(yè)高管已經(jīng)十分重視當(dāng)前高速增長的APP安全問題。企業(yè)內(nèi)部安全負(fù)責(zé)人更應(yīng)該從基本做起，關(guān)注APP在開發(fā)階段所產(chǎn)生的隱患，并遵循本文的建議，采取了所有必要的步驟來保護您的應(yīng)用程序免受網(wǎng)絡(luò)、惡意軟件、病毒和間諜軟件等攻擊。選擇良好的三方滲透服務(wù)，發(fā)現(xiàn)未知問題，增強安全團隊?wèi)?yīng)急響應(yīng)能力。