現(xiàn)今的科技不斷變化的趨勢使移動設(shè)備已成為我們?nèi)粘Ｉ畹闹匾M成部分，也是推動文化組織的重要媒介。目前，先進的處理技術(shù)、互聯(lián)網(wǎng)連接功能和移動應(yīng)用程序的能力都尚在發(fā)展中，這是企業(yè)組織轉(zhuǎn)型過程中需要關(guān)注和解決的模式轉(zhuǎn)變問題。雖然移動應(yīng)用提供了業(yè)務(wù)的靈活性，但也帶來了安全方面的挑戰(zhàn)。移動應(yīng)用的安全威脅日益普遍，移動市場上越來越多受到惡意軟件影響的應(yīng)用，尤其是對信用信息敏感的金融領(lǐng)域。以下是移動應(yīng)用潛在的的漏洞和保護技術(shù)。

可能存在的移動應(yīng)用漏洞

易受攻擊的應(yīng)用程序面臨的安全威脅包括：

敏感數(shù)據(jù)泄露

敏感數(shù)據(jù)泄漏可能發(fā)生在移動應(yīng)用程序不當(dāng)存儲用戶數(shù)據(jù)的情況下。對應(yīng)用程序中使用的敏感數(shù)據(jù)進行加密是確保其機密性的關(guān)鍵步驟。根據(jù)OWASP（Open Worldwide Application Security Project，開放式網(wǎng)頁應(yīng)用程序安全項目）的說法，不安全的數(shù)據(jù)存儲是指開發(fā)團隊假設(shè)用戶無法訪問手機的文件系統(tǒng)，并將敏感數(shù)據(jù)存儲在手機上的數(shù)據(jù)存儲中。設(shè)備上的文件系統(tǒng)通常很容易訪問，用戶應(yīng)該預(yù)期惡意對象會檢查數(shù)據(jù)存儲。此外，對設(shè)備進行Root或越獄可能使?jié)撛诘膼阂鈶?yīng)用程序訪問其他應(yīng)用程序的數(shù)據(jù)，從而增加了安全風(fēng)險。

*Root指的是獲取 Android設(shè)備的超級用戶權(quán)限。超級用戶權(quán)限可以讓用戶訪問和修改設(shè)備的所有文件和設(shè)置，包括系統(tǒng)文件。

未加密的通信

客戶端-服務(wù)器架構(gòu)的最重要特征之一是數(shù)據(jù)交換，當(dāng)數(shù)據(jù)傳輸時，它可能通過載體網(wǎng)絡(luò)或互聯(lián)網(wǎng)進行交換。而在開發(fā)應(yīng)用程序時，如果在客戶端和服務(wù)器之間共享數(shù)據(jù)時不注意，數(shù)據(jù)在傳輸?shù)倪^程中就可能發(fā)生被泄露的風(fēng)險。保護傳輸中數(shù)據(jù)的最佳方法是對其進行加密，不僅可以防止嗅探到的數(shù)據(jù)被讀取，尤其是在涉及用戶名、密碼和信用卡信息的情況下。根據(jù)OWASP的說法，很不幸的，移動應(yīng)用程序通常不會保護網(wǎng)絡(luò)流量。SSL/TLS可能在身份驗證過程中使用，但不會在其他地方使用，從而使數(shù)據(jù)和會話ID暴露被攔截。此外，傳輸安全性的存在并不意味著它被充分實施，而檢測到基本缺陷也并非難事。

信息泄露

泄露存儲在應(yīng)用程序中的相關(guān)數(shù)據(jù)，如密碼、信用卡詳情等，這些信息應(yīng)該保持硬編碼，是任何開發(fā)人員都應(yīng)該優(yōu)先考慮的要求，因為為移動設(shè)備開發(fā)的大多數(shù)應(yīng)用程序在進行反向工程時都會泄露代碼。黑客可能會訪問這些敏感信息，以進一步促使對公司資源的訪問，從而損害公司的聲譽。

較弱的身份驗證和授權(quán)機制

身份驗證和授權(quán)是指為使用應(yīng)用程序而授予的用戶權(quán)限。在具有超出了公開可用功能的應(yīng)用程序中，可能需要權(quán)限才能訪問免費功能。身份驗證一方面指的是驗證身份，而另一方面，授權(quán)指的是被授權(quán)訪問的資源是什么。當(dāng)授權(quán)和身份驗證模式未能保護應(yīng)用程序時，應(yīng)用程序中的特權(quán)功能就會受到損害，使其容易受到攻擊。在開發(fā)應(yīng)用程序時，應(yīng)正確處理授權(quán)和身份驗證，以確保未經(jīng)授權(quán)的用戶無法訪問敏感信息。

使用應(yīng)用程序防御的重要性

如前所述，移動應(yīng)用程序的漏洞非常重要，必須確保它得到完全保護，而應(yīng)用程序防御解決方案旨在通過提供代碼混淆、加密、日志刪除、偽造檢查等功能來保護移動應(yīng)用程序。此外，它還通過在編譯后應(yīng)用先進的技術(shù)對移動應(yīng)用程序的代碼進行混淆，采用全新的代碼混淆后處理，提供完全非侵入式的方法，不影響應(yīng)用程序的功能，從而引入了對反向工程的抵抗。此外，這個安全保護層使刪除或繞過應(yīng)用程序防御變得不可能。結(jié)合這些技術(shù)，它有效地保護應(yīng)用程序免受篡改和重新包裝的威脅。應(yīng)用程序防御檢測攻擊者是否復(fù)制了應(yīng)用程序的源代碼并注入了惡意功能，如果檢測到重新包裝，應(yīng)用程序防御將使已損壞的應(yīng)用程序無法運行。

此外，應(yīng)用程序防御可以無縫集成到現(xiàn)有的應(yīng)用程序中，以檢測、緩解和防御運行時攻擊，如代碼注入、調(diào)試、仿真、屏幕鏡像、應(yīng)用程序劫持等。即使在受損設(shè)備上，應(yīng)用程序仍然受到保護；即使設(shè)備感染了利用欺詐性鍵盤、記錄按鍵、遠程屏幕捕獲、截圖或覆蓋屏幕的惡意軟件，運行時應(yīng)用程序自我保護（RASP）技術(shù)也會檢測并阻止應(yīng)用程序的任何未經(jīng)授權(quán)的行為。

這些技術(shù)確保了應(yīng)用程序的完整性，并充分保護了敏感的業(yè)務(wù)和個人數(shù)據(jù)免受網(wǎng)絡(luò)犯罪分子的威脅。因此，企業(yè)可以擴展和加強應(yīng)用程序安全性，保護客戶，并滿足苛刻的應(yīng)用程序開發(fā)時間表。

總結(jié)

組織在數(shù)據(jù)安全和隱私方面面臨著頻繁的威脅，在不斷發(fā)展的安全問題中優(yōu)先考慮這些問題是十分困難的。本文的重點是展示常用移動應(yīng)用程序中存在的漏洞，并分析對業(yè)務(wù)環(huán)境潛在影響最大的威脅。研究結(jié)果突顯了組織機構(gòu)和應(yīng)用程序用戶需要考慮的安全問題。

擁有對企業(yè)數(shù)據(jù)訪問權(quán)限的易受攻擊的應(yīng)用程序是此類威脅的潛在渠道，并且在與受限制的商業(yè)環(huán)境進行交互時很少受到監(jiān)控。大量的應(yīng)用程序存儲在App Store中，其中很大一部分是未經(jīng)緩解的移動應(yīng)用程序。應(yīng)用程序數(shù)據(jù)泄漏、未加密通信和未經(jīng)授權(quán)訪問漏洞表明，組織機構(gòu)需要了解并防范更廣泛的應(yīng)用程序風(fēng)險，以保護敏感數(shù)據(jù)。

審核編輯 黃宇