隨著移動應用使用率的大幅增長，其被攻擊的風險也在增加。根據(jù)Gartner的一項研究，“75%的移動應用程序?qū)o法通過基本的安全測試”。大多數(shù)企業(yè)主認為移動應用不容易受到網(wǎng)絡攻擊。然而，對于移動APP黑客已經(jīng)總結(jié)出方便有效的攻擊方法與工具腳本，保護移動應用已經(jīng)成為迫在眉睫的首要任務。

根據(jù)大數(shù)據(jù)資訊機構(gòu)HPE(慧與)的一項研究中，對600多家公司的2000多個移動應用進行了測試，結(jié)果如下:

35%的應用程序通過HTTP發(fā)送用戶名和密碼， 18%通過SSL/HTTPS協(xié)議進行加密傳輸用戶名與密碼。

75%的應用程序沒有使用密文來存儲移動設備上的數(shù)據(jù)。

71%的應用程序沒有使用安全加固產(chǎn)品。

APP安全威脅分類

在討論如何保護移動應用程序免受攻擊之前，讓我們先簡要概述一下常見的APP應用程序安全威脅。

1. 來自PC端的威脅

許多APP允許用戶從PC上下載，然后將其上傳到移動設備上，這會造成跨設備的威脅。

2. 安卓移動應用線上平臺存在風險

移動應用開發(fā)平臺審核審計參差不齊，多達90%的移動應用程序存在漏洞。在iOS設備方面，蘋果公司可做相對嚴格的安全準入審計。相比之下，安卓設備由于設備類型、app商店安全性標準不統(tǒng)一、需要覆蓋的安卓版本過多、開源等等特性，安卓APP往往存在更多的安全風險。

3. 來自IOT設備的風險

萬物互聯(lián)的時代下，物聯(lián)網(wǎng)主要目的是收集用戶數(shù)據(jù)，利用這些數(shù)據(jù)提供更好的用戶體驗。物聯(lián)網(wǎng)設備往往是通過安卓app進行控制操作，甚至有些物聯(lián)網(wǎng)設備原本就是安卓操作系統(tǒng)。安卓應用安全漏洞會給設備帶來了難以控制的安全風險。

4. 手機病毒

移動設備處于被惡意軟件、木馬、病毒和間諜軟件攻擊的高風險中，從而使黑客能夠竊取數(shù)據(jù)。

5.未授權(quán)訪問

破解移動app，使得未經(jīng)授權(quán)的用戶可以訪問您的社交媒體網(wǎng)絡、電子郵件帳戶和應用程序。

6. 黑產(chǎn)

黑客利用安卓手機開源等特性，分析移動APP，利用改機軟件，修改系統(tǒng)信息偽造自己的身份。從而欺騙APP的身份認證等環(huán)節(jié)，達到薅羊毛等目的。

如何保護您的移動應用程序

看完了上述移動應用的威脅之后，我們來簡要了解一下應對措施。

1. 靜動態(tài)保護

移動應用程序開發(fā)階段，確保使用安全的編譯腳本與編譯選項，混淆代碼讓黑客無法獲取核心邏輯，確保使用安全的第三方庫，對每行代碼進行安全審計。黑客通常會通過審計逆向偽代碼來發(fā)現(xiàn)漏洞并控制、訪問你的應用程序，獲取手機或應用的敏感個人信息等。

除此之外，需要防止app被動態(tài)調(diào)試與分析，加入防調(diào)試機制。對APP定期進行模糊測試，確保其外部接口不會被入侵。尋找強有力的第三方安全測試公司進行檢測也是一種好的選擇。

2. 增加身份認證算法強度

接口身份認證和授權(quán)為應用程序的登錄增加了安全性。確保APP接口只提供對APP重要功能的訪問。認證部分全部轉(zhuǎn)移線上去運算，本地不要出現(xiàn)算法邏輯，關鍵證書內(nèi)容。增加身份認證因子，可以采用手機端基本信息作為證書生成的重要因子。

3. 保證web/后端安全

實現(xiàn)APP安全，請首先確保在服務器安全，防止未經(jīng)授權(quán)的訪問以保護機密數(shù)據(jù)。對服務器端端所有接口要進行模糊測試。

可以使用容器化后端部署保護數(shù)據(jù)和文檔。此外，需要經(jīng)過認證機構(gòu)滲透測試，其結(jié)果應符合網(wǎng)絡安全標準。通信手段需使用TLS、VPN和SSL等進行加密，防止第三方中間人攻擊等。

4. 安全支付

無論你是在網(wǎng)上提供收費服務，還是在網(wǎng)上銷售一些產(chǎn)品，都必須有一個安全的支付網(wǎng)關。需要將支付系統(tǒng)和客戶端之間的敏感通信增加多因素標記、加密等等。

5. 威脅情報平臺

隨著移動設備的增加，威脅類別也正在迅速演變，我們不可能預防任何的威脅。但是，您可以開放Web安全應急響應平臺幫助處理移動威脅。

此外，APP廠商應該告知用戶，在他們的設備上APP應用廠商將安裝一個額外的移動安全sdk探針。針對手機基本信息、未知的事件等進行采集，上報到您的威脅情報平臺。此外，如果你的應用程序出現(xiàn)任何安全漏洞，sdk探針也可以通知你。

總結(jié)

企業(yè)高管已經(jīng)十分重視當前高速增長的APP安全問題。企業(yè)內(nèi)部安全負責人更應該從基本做起，關注APP在開發(fā)階段所產(chǎn)生的隱患，并遵循本文的建議，采取了所有必要的步驟來保護您的應用程序免受網(wǎng)絡、惡意軟件、病毒和間諜軟件等攻擊。選擇良好的三方滲透服務，發(fā)現(xiàn)未知問題，增強安全團隊應急響應能力。

來源：Freebuf

（正文已結(jié)束）

推薦閱讀：2019年筆記本電腦性價比排行榜

免責聲明及提醒：此文內(nèi)容為本網(wǎng)所轉(zhuǎn)載企業(yè)宣傳資訊，該相關信息僅為宣傳及傳遞更多信息之目的，不代表本網(wǎng)站觀點，文章真實性請瀏覽者慎重核實！任何投資加盟均有風險，提醒廣大民眾投資需謹慎！