手機(jī)APP仍然缺乏強(qiáng)健的安全性
手機(jī)應(yīng)用程序(APP)帶來(lái)了極大的便利,改變了通信方式,體現(xiàn)了人類(lèi)無(wú)窮的創(chuàng)造力。使用智能手機(jī),掃一掃就能購(gòu)買(mǎi)到食物、衣服或者其它物品;你可以手機(jī)支付、和朋友聊天、遠(yuǎn)程和親人視頻;可以記錄運(yùn)動(dòng)數(shù)據(jù)、拍攝視頻和照片;還可以收聽(tīng)節(jié)目、音樂(lè),當(dāng)手電筒或者給吉他調(diào)音。
但是,同時(shí)APP可能將你的個(gè)人信息、醫(yī)療記錄或者財(cái)務(wù)信息都泄露給黑客。這會(huì)導(dǎo)致不法分子盜用你的銀行賬戶(hù)、暴漏隱私,足以讓你的生活不得安寧。
這全部或者大部分歸咎于大多數(shù)APP開(kāi)發(fā)人員將時(shí)間和金錢(qián)用在附加的功能上,而不注重保護(hù)客戶(hù)隱私。這些APP功能豐富,但安全性較差。
現(xiàn)在,數(shù)十億人隨身攜帶著虛擬數(shù)據(jù)炸彈,每人的口袋里有數(shù)十枚炸彈。APP分析和APP市場(chǎng)數(shù)據(jù)權(quán)威機(jī)構(gòu)App Annie 指出平均來(lái)說(shuō),智能手機(jī)用戶(hù)在手機(jī)上安裝了60至90個(gè)APP,每月大約使用30個(gè)APP,每天啟動(dòng)9個(gè)APP。
那需要采取什么措施以改變當(dāng)前的困境?或許用戶(hù)需要安全性更高的APP。但現(xiàn)實(shí)是消費(fèi)者還沒(méi)有想要為安全性更高的手機(jī)支付更高費(fèi)用的意向。將來(lái)也很難講。
Positive Technologies公司一份研究報(bào)告指出:手機(jī)APP帶來(lái)的是高風(fēng)險(xiǎn)的便利。這也不足為奇。
該公司研究了17款手機(jī)APP,發(fā)現(xiàn)43%的安卓應(yīng)用程序和38%的iOS應(yīng)用程序中發(fā)現(xiàn)了高風(fēng)險(xiǎn)漏洞。
報(bào)告還發(fā)現(xiàn):
- 不安全的數(shù)據(jù)存儲(chǔ)是最常見(jiàn)的問(wèn)題,這在76%的移動(dòng)應(yīng)用程序中都有發(fā)現(xiàn)。不安全的數(shù)據(jù)存儲(chǔ)會(huì)將密碼、財(cái)務(wù)信息、個(gè)人數(shù)據(jù)和通信暴露在風(fēng)險(xiǎn)中。
- 通過(guò)惡意軟件,89%的漏洞可以被黑客利用。這意味著黑客幾乎不需要訪(fǎng)問(wèn)智能手機(jī)就能竊取數(shù)據(jù)。
- 大多數(shù)漏洞是由安全機(jī)制漏洞導(dǎo)致的,不僅是APP本身,而且是服務(wù)器上的漏洞。服務(wù)器由開(kāi)發(fā)人員托管并與APP進(jìn)行通信。研究人員在74%的iOS應(yīng)用程序和57%的安卓應(yīng)用程序中發(fā)現(xiàn)了這樣的漏洞,其中42%的服務(wù)器端組件存在這種漏洞。
由于此類(lèi)漏洞會(huì)在設(shè)計(jì)階段擴(kuò)大,因此修復(fù)它們需要對(duì)代碼進(jìn)行重大修改。
同時(shí),用戶(hù)的疏忽也是造成安全隱患的很大原因。報(bào)告稱(chēng):“很多網(wǎng)絡(luò)攻擊都是由于用戶(hù)的疏忽大意。升級(jí)特權(quán)或者下載軟件的時(shí)候可能讓惡意攻擊有機(jī)可乘。”
為什么手機(jī)APP會(huì)如此不安全呢?
這個(gè)問(wèn)題的答案與APP盛行的原因幾乎一致。新思科技高級(jí)安全策略師Jonathan Knudsen指出,也并不只是手機(jī)APP存在各種漏洞。他說(shuō):“所有行業(yè)使用的各種類(lèi)型的軟件都有相似的挑戰(zhàn)。迫于要在盡可能低的預(yù)算和最短的時(shí)間內(nèi)開(kāi)發(fā)出功能的壓力,開(kāi)發(fā)團(tuán)隊(duì)通常都專(zhuān)注在功能上。但不幸的是,安全往往會(huì)被忽略,直到災(zāi)難性事件發(fā)生后才不得不重視起來(lái)。”
為盡早獲利而犧牲安全
即使新聞總有報(bào)道信息泄露的消息,因?yàn)槔嬲T惑,廠(chǎng)商還是會(huì)將其功能豐富的APP盡快推出,即使要犧牲產(chǎn)品的安全性也無(wú)所謂。他們優(yōu)先考慮的是比競(jìng)爭(zhēng)對(duì)手更快推出產(chǎn)品。
但諷刺的是,任何一位優(yōu)秀的安全專(zhuān)家都會(huì)告訴你可靠的安全并不會(huì)拖慢開(kāi)發(fā)速度,反而會(huì)提升開(kāi)發(fā)速度。
部署安全性看起來(lái)耗時(shí)又昂貴。Jonathan Knudsen指出,創(chuàng)建安全的APP要求在軟件開(kāi)發(fā)生命周期(SDLC)的不同階段執(zhí)行不同的活動(dòng),例如威脅建模、靜態(tài)分析和動(dòng)態(tài)分析等。
為此,開(kāi)發(fā)人員需要添加軟件組件分析(SCA),以幫助開(kāi)發(fā)人員查找和修復(fù)開(kāi)源軟件組件的任何漏洞或許可問(wèn)題