隨著移動(dòng)互聯(lián)網(wǎng)用戶數(shù)量急劇增長(zhǎng)，移動(dòng)應(yīng)用系統(tǒng)已經(jīng)實(shí)現(xiàn)了典型生活場(chǎng)景的全覆蓋，并滲透到了多個(gè)企業(yè)級(jí)應(yīng)用領(lǐng)域。移動(dòng)應(yīng)用的快速擴(kuò)張也帶來(lái)了諸如數(shù)據(jù)違規(guī)收集、數(shù)據(jù)惡意濫用、數(shù)據(jù)非法獲取、數(shù)據(jù)惡意散播等安全風(fēng)險(xiǎn)。這些安全風(fēng)險(xiǎn)廣泛存在于當(dāng)前主流的移動(dòng)應(yīng)用系統(tǒng)中，嚴(yán)重威脅數(shù)據(jù)安全與個(gè)人信息安全。

本文梳理總結(jié)了目前將移動(dòng)應(yīng)用數(shù)據(jù)置于險(xiǎn)境的10大安全威脅路徑，對(duì)于經(jīng)常使用移動(dòng)應(yīng)用系統(tǒng)的企業(yè)和個(gè)人而言，了解這些威脅并采取合適的措施保護(hù)自身安全至關(guān)重要。 

1、惡意軟件攻擊

惡意軟件攻擊是移動(dòng)應(yīng)用系統(tǒng)數(shù)據(jù)泄露的最大威脅，它可以在無(wú)感知的情況下感染用戶設(shè)備或移動(dòng)應(yīng)用程序，進(jìn)而竊取用戶的個(gè)人與工作信息。由于網(wǎng)絡(luò)犯罪分子一直在尋找最快捷高效的方法來(lái)提升惡意軟件傳播效率，而移動(dòng)應(yīng)用程序由于用戶數(shù)量巨大，因此已成為他們最關(guān)注的感染目標(biāo)。

網(wǎng)絡(luò)犯罪分子是如何通過(guò)移動(dòng)應(yīng)用程序傳播惡意軟件的呢？調(diào)查顯示，新一代的惡意軟件已可以通過(guò)非法鏈接、應(yīng)用下載和偽造合法應(yīng)用程序等多種途徑實(shí)現(xiàn)快速感染和傳播。通常，攻擊者會(huì)上傳帶有惡意代碼的應(yīng)用程序，或者將惡意代碼注入到現(xiàn)有應(yīng)用程序中。除此之外，他們還會(huì)利用流行的應(yīng)用程序名稱，用惡意代碼創(chuàng)建一個(gè)幾乎完全相同的副本。

2. 缺少安全性設(shè)計(jì)的移動(dòng)應(yīng)用

移動(dòng)應(yīng)用數(shù)據(jù)泄漏通常意味著存在未經(jīng)授權(quán)的數(shù)據(jù)傳輸，當(dāng)移動(dòng)應(yīng)用程序本身缺乏有效的安全保護(hù)特性時(shí)，就會(huì)發(fā)生這種情況。例如，假設(shè)用戶在一個(gè)缺乏安全性設(shè)計(jì)的應(yīng)用程序中輸入了敏感信息（如信用卡號(hào)或身份證號(hào)），就可能被竊取并用于惡意目的。這種類型的安全威脅通常是由糟糕的編碼實(shí)踐、過(guò)時(shí)的軟件組件或未加密的數(shù)據(jù)存儲(chǔ)引起的。

移動(dòng)應(yīng)用程序在正式發(fā)布前，開發(fā)者應(yīng)該保障其運(yùn)行時(shí)具有相關(guān)的數(shù)據(jù)安全策略和措施。如果它沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)，那么用戶的數(shù)據(jù)就可能被泄露。網(wǎng)絡(luò)犯罪分子可以很輕松地進(jìn)入應(yīng)用程序數(shù)據(jù)庫(kù)，竊取用戶存儲(chǔ)的敏感信息。當(dāng)移動(dòng)應(yīng)用程序不再使用或已被卸載時(shí)，如果數(shù)據(jù)仍然存留并可以訪問(wèn)時(shí)，也可能發(fā)生數(shù)據(jù)泄漏。

3. 不安全的第三方API

應(yīng)用程序編程接口（API）允許應(yīng)用程序相互通信和共享數(shù)據(jù)，因此，大量第三方API需要被集成到移動(dòng)應(yīng)用程序中以提供更多功能的服務(wù)。不過(guò)，它們也是移動(dòng)應(yīng)用數(shù)據(jù)安全泄露的主要途徑，因?yàn)樗鼈儼藢?duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限，很容易被黑客利用。

因此，企業(yè)組織應(yīng)該確保移動(dòng)應(yīng)用程序所使用的第三方API是安全的。此外，安全人員還應(yīng)該進(jìn)一步驗(yàn)證API接口的安全措施是否有效，并確保其具備完善的身份驗(yàn)證與控制措施。

4.不安全的身份驗(yàn)證

不安全的身份驗(yàn)證是指應(yīng)用程序不能夠保證對(duì)所有用戶都進(jìn)行可信的身份驗(yàn)證與識(shí)別。這使得黑客有機(jī)會(huì)違規(guī)訪問(wèn)用戶的應(yīng)用程序，因?yàn)樗麄冎恍枰@過(guò)簡(jiǎn)單的身份防護(hù)措施。大量實(shí)踐表明，企業(yè)雖然不用強(qiáng)制要求為每個(gè)應(yīng)用程序?qū)崿F(xiàn)身份驗(yàn)證，但對(duì)于那些處理敏感數(shù)據(jù)的應(yīng)用程序（如銀行、社交媒體和類似應(yīng)用程序）來(lái)說(shuō)，這是必不可少的步驟。

對(duì)于需要進(jìn)行身份驗(yàn)證的移動(dòng)應(yīng)用程序，請(qǐng)確保它有一個(gè)強(qiáng)大的驗(yàn)證策略，并使用多因素身份驗(yàn)證模式，這將有助于保護(hù)用戶的應(yīng)用免受未經(jīng)授權(quán)的訪問(wèn)。

5.脆弱的加密措施

加密是對(duì)重要移動(dòng)應(yīng)用數(shù)據(jù)進(jìn)行防護(hù)的基本要求，使數(shù)據(jù)在沒(méi)有密鑰的情況下無(wú)法被讀取。如果缺乏足夠強(qiáng)大的加密防護(hù)，數(shù)據(jù)將會(huì)處在危險(xiǎn)的狀態(tài)下，很容易被黑客訪問(wèn)。許多移動(dòng)應(yīng)用程序開發(fā)人員都會(huì)忽視如何正確的加密數(shù)據(jù)，這也導(dǎo)致了很多嚴(yán)重的數(shù)據(jù)泄露發(fā)生。確保應(yīng)用程序正確且安全地使用加密技術(shù)是非常重要的，這包括使用強(qiáng)算法進(jìn)行加密、使用安全協(xié)議進(jìn)行通信以及正確保管密鑰。

6.未修補(bǔ)的安全漏洞

未修補(bǔ)的安全漏洞是指那些已被安全研究人員發(fā)現(xiàn)，但開發(fā)人員卻沒(méi)有及時(shí)進(jìn)行修補(bǔ)的漏洞。移動(dòng)應(yīng)用程序的代碼往往比較復(fù)雜，可能包含大量容易被網(wǎng)絡(luò)犯罪分子利用的安全漏洞。這些漏洞可能導(dǎo)致數(shù)據(jù)泄露和惡意軟件感染。定期更新漏洞的最新補(bǔ)丁，這將有助于確保移動(dòng)應(yīng)用程序的安全性，進(jìn)一步降低數(shù)據(jù)泄露發(fā)生的可能性。

7.不安全的網(wǎng)絡(luò)連接

當(dāng)移動(dòng)應(yīng)用程序與服務(wù)器通信時(shí)，如果它們之間的連接是不安全的，也將會(huì)造成應(yīng)用數(shù)據(jù)的泄露或被篡改。安全研究人員建議：移動(dòng)應(yīng)用系統(tǒng)所有發(fā)送和接收的數(shù)據(jù)都應(yīng)該加密，這樣才能防止攻擊者訪問(wèn)或修改它們。但是事實(shí)上，許多移動(dòng)應(yīng)用程序在開發(fā)時(shí)，并不會(huì)充分考慮如何正確保護(hù)網(wǎng)絡(luò)連接的安全。為此，移動(dòng)用戶已經(jīng)盡快檢查其應(yīng)用程序是否正確使用了安全的通信和加密協(xié)議來(lái)保護(hù)數(shù)據(jù)的傳輸。

8.特權(quán)過(guò)度的應(yīng)用程序 

特權(quán)過(guò)度意味著訪問(wèn)者的權(quán)限遠(yuǎn)超過(guò)他們的實(shí)際需要。調(diào)查數(shù)據(jù)顯示，在目前的移動(dòng)應(yīng)用系統(tǒng)中，普遍存在著權(quán)限獲取過(guò)度的情況，很多不必要的權(quán)限提供了對(duì)各種敏感數(shù)據(jù)的違規(guī)訪問(wèn)，然后被惡意行為者操縱或?yàn)E用。用戶在安裝應(yīng)用程序時(shí)，需要注意只提供其應(yīng)用所需的必要權(quán)限，這將有助于防止惡意行為者濫用權(quán)限進(jìn)行攻擊活動(dòng)。

9.不安全的第三方組件

第三方組件是移動(dòng)應(yīng)用程序開發(fā)中使用的來(lái)自外部的第三方代碼模塊或片段。這些組件如果沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)，可能會(huì)帶來(lái)各種安全風(fēng)險(xiǎn)。例如，第三方組件可能訪問(wèn)敏感數(shù)據(jù)或允許惡意代碼在設(shè)備上運(yùn)行。建議用戶定期監(jiān)控和更新所有第三方組件，這將有助于防止不安全組件導(dǎo)致的安全風(fēng)險(xiǎn)和數(shù)據(jù)泄露。此外，用戶應(yīng)該只使用可信來(lái)源的第三方組件，以確保它們是安全和可控的。

10.Rooting和越獄

在很多情況下，移動(dòng)設(shè)備用戶會(huì)通過(guò)root或越獄來(lái)獲得額外的設(shè)備應(yīng)用功能，但這種行為應(yīng)該被嚴(yán)格禁止，因?yàn)檫@會(huì)帶來(lái)一系列的安全威脅。Rooting和越獄是指獲得移動(dòng)設(shè)備操作系統(tǒng)根（root）訪問(wèn)權(quán)限的過(guò)程，但這可以用來(lái)繞過(guò)現(xiàn)有的應(yīng)用程序安全措施，并允許惡意代碼在設(shè)備上安裝和運(yùn)行。它還可以讓攻擊者不受限制地訪問(wèn)存儲(chǔ)在移動(dòng)設(shè)備內(nèi)存中的敏感數(shù)據(jù)。

移動(dòng)應(yīng)用安全防護(hù)建議

為了應(yīng)對(duì)以上移動(dòng)應(yīng)用數(shù)據(jù)安全威脅，企業(yè)需要確保其網(wǎng)絡(luò)安全計(jì)劃包含了全面的防御手段，包括移動(dòng)設(shè)備管理解決方案、多因素身份驗(yàn)證以及有效的員工訪問(wèn)控制等。

此外，安全團(tuán)隊(duì)需要在移動(dòng)應(yīng)用系統(tǒng)全生命周期中加強(qiáng)對(duì)應(yīng)用的測(cè)試，更快地發(fā)現(xiàn)漏洞，同時(shí)監(jiān)控部署的所有移動(dòng)應(yīng)用，以降低發(fā)生重大移動(dòng)應(yīng)用安全事件的幾率。企業(yè)可以通過(guò)動(dòng)態(tài)移動(dòng)應(yīng)用安全測(cè)試、對(duì)開發(fā)人員進(jìn)行安全性培訓(xùn)以及設(shè)計(jì)安全考核KPI來(lái)避免發(fā)生這類事件。

同時(shí)，做好移動(dòng)App應(yīng)用安全防護(hù)不僅需要技術(shù)手段上的安全防護(hù)，還需要安全意識(shí)和管理運(yùn)維水平的同步提升。由于移動(dòng)惡意軟件感染通常會(huì)大量利用社會(huì)工程學(xué)方法，以普通員工或個(gè)人作為攻擊突破口，因此企業(yè)應(yīng)提供定期的安全意識(shí)培訓(xùn)，并考慮針對(duì)這些攻擊采用監(jiān)控通信狀態(tài)的技術(shù)。 

參考鏈接：??https://www.makeuseof.com/top-mobile-app-security-threats/??