現(xiàn)今的科技不斷變化的趨勢(shì)使移動(dòng)設(shè)備已成為我們?nèi)粘Ｉ畹闹匾M成部分，也是推動(dòng)文化組織的重要媒介。目前，先進(jìn)的處理技術(shù)、互聯(lián)網(wǎng)連接功能和移動(dòng)應(yīng)用程序的能力都尚在發(fā)展中，這是企業(yè)組織轉(zhuǎn)型過程中需要關(guān)注和解決的模式轉(zhuǎn)變問題。雖然移動(dòng)應(yīng)用提供了業(yè)務(wù)的靈活性，但也帶來了安全方面的挑戰(zhàn)。移動(dòng)應(yīng)用的安全威脅日益普遍，移動(dòng)市場(chǎng)上越來越多受到惡意軟件影響的應(yīng)用，尤其是對(duì)信用信息敏感的金融領(lǐng)域。以下是移動(dòng)應(yīng)用潛在的的漏洞和保護(hù)技術(shù)。

可能存在的移動(dòng)應(yīng)用漏洞

易受攻擊的應(yīng)用程序面臨的安全威脅包括：

敏感數(shù)據(jù)泄露

敏感數(shù)據(jù)泄漏可能發(fā)生在移動(dòng)應(yīng)用程序不當(dāng)存儲(chǔ)用戶數(shù)據(jù)的情況下。對(duì)應(yīng)用程序中使用的敏感數(shù)據(jù)進(jìn)行加密是確保其機(jī)密性的關(guān)鍵步驟。根據(jù)OWASP（Open Worldwide Application Security Project，開放式網(wǎng)頁應(yīng)用程序安全項(xiàng)目）的說法，不安全的數(shù)據(jù)存儲(chǔ)是指開發(fā)團(tuán)隊(duì)假設(shè)用戶無法訪問手機(jī)的文件系統(tǒng)，并將敏感數(shù)據(jù)存儲(chǔ)在手機(jī)上的數(shù)據(jù)存儲(chǔ)中。設(shè)備上的文件系統(tǒng)通常很容易訪問，用戶應(yīng)該預(yù)期惡意對(duì)象會(huì)檢查數(shù)據(jù)存儲(chǔ)。此外，對(duì)設(shè)備進(jìn)行Root或越獄可能使?jié)撛诘膼阂鈶?yīng)用程序訪問其他應(yīng)用程序的數(shù)據(jù)，從而增加了安全風(fēng)險(xiǎn)。

*Root指的是獲取 Android設(shè)備的超級(jí)用戶權(quán)限。超級(jí)用戶權(quán)限可以讓用戶訪問和修改設(shè)備的所有文件和設(shè)置，包括系統(tǒng)文件。

未加密的通信

客戶端-服務(wù)器架構(gòu)的最重要特征之一是數(shù)據(jù)交換，當(dāng)數(shù)據(jù)傳輸時(shí)，它可能通過載體網(wǎng)絡(luò)或互聯(lián)網(wǎng)進(jìn)行交換。而在開發(fā)應(yīng)用程序時(shí)，如果在客戶端和服務(wù)器之間共享數(shù)據(jù)時(shí)不注意，數(shù)據(jù)在傳輸?shù)倪^程中就可能發(fā)生被泄露的風(fēng)險(xiǎn)。保護(hù)傳輸中數(shù)據(jù)的最佳方法是對(duì)其進(jìn)行加密，不僅可以防止嗅探到的數(shù)據(jù)被讀取，尤其是在涉及用戶名、密碼和信用卡信息的情況下。根據(jù)OWASP的說法，很不幸的，移動(dòng)應(yīng)用程序通常不會(huì)保護(hù)網(wǎng)絡(luò)流量。SSL/TLS可能在身份驗(yàn)證過程中使用，但不會(huì)在其他地方使用，從而使數(shù)據(jù)和會(huì)話ID暴露被攔截。此外，傳輸安全性的存在并不意味著它被充分實(shí)施，而檢測(cè)到基本缺陷也并非難事。

信息泄露

泄露存儲(chǔ)在應(yīng)用程序中的相關(guān)數(shù)據(jù)，如密碼、信用卡詳情等，這些信息應(yīng)該保持硬編碼，是任何開發(fā)人員都應(yīng)該優(yōu)先考慮的要求，因?yàn)闉橐苿?dòng)設(shè)備開發(fā)的大多數(shù)應(yīng)用程序在進(jìn)行反向工程時(shí)都會(huì)泄露代碼。黑客可能會(huì)訪問這些敏感信息，以進(jìn)一步促使對(duì)公司資源的訪問，從而損害公司的聲譽(yù)。

較弱的身份驗(yàn)證和授權(quán)機(jī)制

身份驗(yàn)證和授權(quán)是指為使用應(yīng)用程序而授予的用戶權(quán)限。在具有超出了公開可用功能的應(yīng)用程序中，可能需要權(quán)限才能訪問免費(fèi)功能。身份驗(yàn)證一方面指的是驗(yàn)證身份，而另一方面，授權(quán)指的是被授權(quán)訪問的資源是什么。當(dāng)授權(quán)和身份驗(yàn)證模式未能保護(hù)應(yīng)用程序時(shí)，應(yīng)用程序中的特權(quán)功能就會(huì)受到損害，使其容易受到攻擊。在開發(fā)應(yīng)用程序時(shí)，應(yīng)正確處理授權(quán)和身份驗(yàn)證，以確保未經(jīng)授權(quán)的用戶無法訪問敏感信息。

使用應(yīng)用程序防御的重要性

如前所述，移動(dòng)應(yīng)用程序的漏洞非常重要，必須確保它得到完全保護(hù)，而應(yīng)用程序防御解決方案旨在通過提供代碼混淆、加密、日志刪除、偽造檢查等功能來保護(hù)移動(dòng)應(yīng)用程序。此外，它還通過在編譯后應(yīng)用先進(jìn)的技術(shù)對(duì)移動(dòng)應(yīng)用程序的代碼進(jìn)行混淆，采用全新的代碼混淆后處理，提供完全非侵入式的方法，不影響應(yīng)用程序的功能，從而引入了對(duì)反向工程的抵抗。此外，這個(gè)安全保護(hù)層使刪除或繞過應(yīng)用程序防御變得不可能。結(jié)合這些技術(shù)，它有效地保護(hù)應(yīng)用程序免受篡改和重新包裝的威脅。應(yīng)用程序防御檢測(cè)攻擊者是否復(fù)制了應(yīng)用程序的源代碼并注入了惡意功能，如果檢測(cè)到重新包裝，應(yīng)用程序防御將使已損壞的應(yīng)用程序無法運(yùn)行。

此外，應(yīng)用程序防御可以無縫集成到現(xiàn)有的應(yīng)用程序中，以檢測(cè)、緩解和防御運(yùn)行時(shí)攻擊，如代碼注入、調(diào)試、仿真、屏幕鏡像、應(yīng)用程序劫持等。即使在受損設(shè)備上，應(yīng)用程序仍然受到保護(hù)；即使設(shè)備感染了利用欺詐性鍵盤、記錄按鍵、遠(yuǎn)程屏幕捕獲、截圖或覆蓋屏幕的惡意軟件，運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）技術(shù)也會(huì)檢測(cè)并阻止應(yīng)用程序的任何未經(jīng)授權(quán)的行為。

這些技術(shù)確保了應(yīng)用程序的完整性，并充分保護(hù)了敏感的業(yè)務(wù)和個(gè)人數(shù)據(jù)免受網(wǎng)絡(luò)犯罪分子的威脅。因此，企業(yè)可以擴(kuò)展和加強(qiáng)應(yīng)用程序安全性，保護(hù)客戶，并滿足苛刻的應(yīng)用程序開發(fā)時(shí)間表。

總結(jié)

組織在數(shù)據(jù)安全和隱私方面面臨著頻繁的威脅，在不斷發(fā)展的安全問題中優(yōu)先考慮這些問題是十分困難的。本文的重點(diǎn)是展示常用移動(dòng)應(yīng)用程序中存在的漏洞，并分析對(duì)業(yè)務(wù)環(huán)境潛在影響最大的威脅。研究結(jié)果突顯了組織機(jī)構(gòu)和應(yīng)用程序用戶需要考慮的安全問題。

擁有對(duì)企業(yè)數(shù)據(jù)訪問權(quán)限的易受攻擊的應(yīng)用程序是此類威脅的潛在渠道，并且在與受限制的商業(yè)環(huán)境進(jìn)行交互時(shí)很少受到監(jiān)控。大量的應(yīng)用程序存儲(chǔ)在App Store中，其中很大一部分是未經(jīng)緩解的移動(dòng)應(yīng)用程序。應(yīng)用程序數(shù)據(jù)泄漏、未加密通信和未經(jīng)授權(quán)訪問漏洞表明，組織機(jī)構(gòu)需要了解并防范更廣泛的應(yīng)用程序風(fēng)險(xiǎn)，以保護(hù)敏感數(shù)據(jù)。

審核編輯 黃宇