現(xiàn)今的科技不斷變化的趨勢使移動設備已成為我們?nèi)粘Ｉ畹闹匾M成部分，也是推動文化組織的重要媒介。目前，先進的處理技術、互聯(lián)網(wǎng)連接功能和移動應用程序的能力都尚在發(fā)展中，這是企業(yè)組織轉(zhuǎn)型過程中需要關注和解決的模式轉(zhuǎn)變問題。雖然移動應用提供了業(yè)務的靈活性，但也帶來了安全方面的挑戰(zhàn)。移動應用的安全威脅日益普遍，移動市場上越來越多受到惡意軟件影響的應用，尤其是對信用信息敏感的金融領域。以下是移動應用潛在的的漏洞和保護技術。

可能存在的移動應用漏洞

易受攻擊的應用程序面臨的安全威脅包括：

敏感數(shù)據(jù)泄露

敏感數(shù)據(jù)泄漏可能發(fā)生在移動應用程序不當存儲用戶數(shù)據(jù)的情況下。對應用程序中使用的敏感數(shù)據(jù)進行加密是確保其機密性的關鍵步驟。根據(jù)OWASP（Open Worldwide Application Security Project，開放式網(wǎng)頁應用程序安全項目）的說法，不安全的數(shù)據(jù)存儲是指開發(fā)團隊假設用戶無法訪問手機的文件系統(tǒng)，并將敏感數(shù)據(jù)存儲在手機上的數(shù)據(jù)存儲中。設備上的文件系統(tǒng)通常很容易訪問，用戶應該預期惡意對象會檢查數(shù)據(jù)存儲。此外，對設備進行Root或越獄可能使?jié)撛诘膼阂鈶贸绦蛟L問其他應用程序的數(shù)據(jù)，從而增加了安全風險。

*Root指的是獲取 Android設備的超級用戶權(quán)限。超級用戶權(quán)限可以讓用戶訪問和修改設備的所有文件和設置，包括系統(tǒng)文件。

未加密的通信

客戶端-服務器架構(gòu)的最重要特征之一是數(shù)據(jù)交換，當數(shù)據(jù)傳輸時，它可能通過載體網(wǎng)絡或互聯(lián)網(wǎng)進行交換。而在開發(fā)應用程序時，如果在客戶端和服務器之間共享數(shù)據(jù)時不注意，數(shù)據(jù)在傳輸?shù)倪^程中就可能發(fā)生被泄露的風險。保護傳輸中數(shù)據(jù)的最佳方法是對其進行加密，不僅可以防止嗅探到的數(shù)據(jù)被讀取，尤其是在涉及用戶名、密碼和信用卡信息的情況下。根據(jù)OWASP的說法，很不幸的，移動應用程序通常不會保護網(wǎng)絡流量。SSL/TLS可能在身份驗證過程中使用，但不會在其他地方使用，從而使數(shù)據(jù)和會話ID暴露被攔截。此外，傳輸安全性的存在并不意味著它被充分實施，而檢測到基本缺陷也并非難事。

信息泄露

泄露存儲在應用程序中的相關數(shù)據(jù)，如密碼、信用卡詳情等，這些信息應該保持硬編碼，是任何開發(fā)人員都應該優(yōu)先考慮的要求，因為為移動設備開發(fā)的大多數(shù)應用程序在進行反向工程時都會泄露代碼。黑客可能會訪問這些敏感信息，以進一步促使對公司資源的訪問，從而損害公司的聲譽。

較弱的身份驗證和授權(quán)機制

身份驗證和授權(quán)是指為使用應用程序而授予的用戶權(quán)限。在具有超出了公開可用功能的應用程序中，可能需要權(quán)限才能訪問免費功能。身份驗證一方面指的是驗證身份，而另一方面，授權(quán)指的是被授權(quán)訪問的資源是什么。當授權(quán)和身份驗證模式未能保護應用程序時，應用程序中的特權(quán)功能就會受到損害，使其容易受到攻擊。在開發(fā)應用程序時，應正確處理授權(quán)和身份驗證，以確保未經(jīng)授權(quán)的用戶無法訪問敏感信息。

使用應用程序防御的重要性

如前所述，移動應用程序的漏洞非常重要，必須確保它得到完全保護，而應用程序防御解決方案旨在通過提供代碼混淆、加密、日志刪除、偽造檢查等功能來保護移動應用程序。此外，它還通過在編譯后應用先進的技術對移動應用程序的代碼進行混淆，采用全新的代碼混淆后處理，提供完全非侵入式的方法，不影響應用程序的功能，從而引入了對反向工程的抵抗。此外，這個安全保護層使刪除或繞過應用程序防御變得不可能。結(jié)合這些技術，它有效地保護應用程序免受篡改和重新包裝的威脅。應用程序防御檢測攻擊者是否復制了應用程序的源代碼并注入了惡意功能，如果檢測到重新包裝，應用程序防御將使已損壞的應用程序無法運行。

此外，應用程序防御可以無縫集成到現(xiàn)有的應用程序中，以檢測、緩解和防御運行時攻擊，如代碼注入、調(diào)試、仿真、屏幕鏡像、應用程序劫持等。即使在受損設備上，應用程序仍然受到保護；即使設備感染了利用欺詐性鍵盤、記錄按鍵、遠程屏幕捕獲、截圖或覆蓋屏幕的惡意軟件，運行時應用程序自我保護（RASP）技術也會檢測并阻止應用程序的任何未經(jīng)授權(quán)的行為。

這些技術確保了應用程序的完整性，并充分保護了敏感的業(yè)務和個人數(shù)據(jù)免受網(wǎng)絡犯罪分子的威脅。因此，企業(yè)可以擴展和加強應用程序安全性，保護客戶，并滿足苛刻的應用程序開發(fā)時間表。

總結(jié)

組織在數(shù)據(jù)安全和隱私方面面臨著頻繁的威脅，在不斷發(fā)展的安全問題中優(yōu)先考慮這些問題是十分困難的。本文的重點是展示常用移動應用程序中存在的漏洞，并分析對業(yè)務環(huán)境潛在影響最大的威脅。研究結(jié)果突顯了組織機構(gòu)和應用程序用戶需要考慮的安全問題。

擁有對企業(yè)數(shù)據(jù)訪問權(quán)限的易受攻擊的應用程序是此類威脅的潛在渠道，并且在與受限制的商業(yè)環(huán)境進行交互時很少受到監(jiān)控。大量的應用程序存儲在App Store中，其中很大一部分是未經(jīng)緩解的移動應用程序。應用程序數(shù)據(jù)泄漏、未加密通信和未經(jīng)授權(quán)訪問漏洞表明，組織機構(gòu)需要了解并防范更廣泛的應用程序風險，以保護敏感數(shù)據(jù)。

審核編輯 黃宇