新思科技：手機APP仍然缺乏強健的安全性

打開智能手機，我們可以進行支付、聊天、付款、叫外賣、打車、購物、醫(yī)院掛號等等，現代人的生活似乎已經離不開這些各式各樣的應用軟件了。與此同時，功能越來越豐富的背后也隱藏著隱患，危害到用戶的信息安全和財產安全。

人們每天攜帶的移動設備里安裝了很多應用程序，但這些應用程序仍然缺乏強健的安全性。為什么會存在這樣的問題呢?研發(fā)人員又該如何解決?

手機應用程序(APP)帶來了極大的便利，改變了通信方式，體現了人類無窮的創(chuàng)造力。使用智能手機，掃一掃就能購買到食物、衣服或者其它物品;你可以手機支付、和朋友聊天、遠程和親人視頻;可以記錄運動數據、拍攝視頻和照片;還可以收聽節(jié)目、音樂，當手電筒或者給吉他調音。

但是，同時APP可能將你的個人信息、醫(yī)療記錄或者財務信息都泄露給黑客。這會導致不法分子盜用你的銀行賬戶、暴漏隱私，足以讓你的生活不得安寧。

這全部或者大部分歸咎于大多數APP開發(fā)人員將時間和金錢用在附加的功能上，而不注重保護客戶隱私。這些APP功能豐富，但安全性較差。

現在，數十億人隨身攜帶著虛擬數據炸彈，每人的口袋里有數十枚炸彈。APP分析和APP市場數據權威機構App Annie 指出平均來說，智能手機用戶在手機上安裝了60至90個APP，每月大約使用30個APP，每天啟動9個APP。

那需要采取什么措施以改變當前的困境?或許用戶需要安全性更高的APP。但現實是消費者還沒有想要為安全性更高的手機支付更高費用的意向。將來也很難講。

Positive Technologies公司一份研究報告指出：手機APP帶來的是高風險的便利。這也不足為奇。

該公司研究了17款手機APP，發(fā)現43%的安卓應用程序和38%的iOS應用程序中發(fā)現了高風險漏洞。

報告還發(fā)現：

-不安全的數據存儲是最常見的問題，這在76%的移動應用程序中都有發(fā)現。不安全的數據存儲會將密碼、財務信息、個人數據和通信暴露在風險中。

-通過惡意軟件，89%的漏洞可以被黑客利用。這意味著黑客幾乎不需要訪問智能手機就能竊取數據。

-大多數漏洞是由安全機制漏洞導致的，不僅是APP本身，而且是服務器上的漏洞。服務器由開發(fā)人員托管并與APP進行通信。研究人員在74%的iOS應用程序和57%的安卓應用程序中發(fā)現了這樣的漏洞，其中42%的服務器端組件存在這種漏洞。

由于此類漏洞會在設計階段擴大，因此修復它們需要對代碼進行重大修改。

同時，用戶的疏忽也是造成安全隱患的很大原因。報告稱：“很多網絡攻擊都是由于用戶的疏忽大意。升級特權或者下載軟件的時候可能讓惡意攻擊有機可乘。”

為什么手機APP會如此不安全呢?

這個問題的答案與APP盛行的原因幾乎一致。新思科技高級安全策略師Jonathan Knudsen指出，也并不只是手機APP存在各種漏洞。他說：“所有行業(yè)使用的各種類型的軟件都有相似的挑戰(zhàn)。迫于要在盡可能低的預算和最短的時間內開發(fā)出功能的壓力，開發(fā)團隊通常都專注在功能上。但不幸的是，安全往往會被忽略，直到災難性事件發(fā)生后才不得不重視起來。”

為盡早獲利而犧牲安全

即使新聞總有報道信息泄露的消息，因為利益誘惑，廠商還是會將其功能豐富的APP盡快推出，即使要犧牲產品的安全性也無所謂。他們優(yōu)先考慮的是比競爭對手更快推出產品。

但諷刺的是，任何一位優(yōu)秀的安全專家都會告訴你可靠的安全并不會拖慢開發(fā)速度，反而會提升開發(fā)速度。

部署安全性看起來耗時又昂貴。Jonathan Knudsen指出，創(chuàng)建安全的APP要求在軟件開發(fā)生命周期(SDLC)的不同階段執(zhí)行不同的活動，例如威脅建模、靜態(tài)分析和動態(tài)分析等。

為此，開發(fā)人員需要添加軟件組件分析(SCA)，以幫助開發(fā)人員查找和修復開源軟件組件的任何漏洞或許可問題。

更容易地在手機APP里構建安全性

盡管用戶在自己的移動設備上使用APP時需要對安全性承擔一些責任，例如使用安全密碼并且不應從不可靠的來源安裝APP。Jonathan Knudsen對此表示贊同。他補充道：“但開發(fā)人員的責任更大。他們控制數據的存儲方式和位置、存儲的時間長短以及數據的安全性。開發(fā)人員控制身份驗證如何進行，用戶需要多久重新證明其身份等?！?/span>

開發(fā)人員有責任安全地開發(fā)其應用程序，時?？紤]安全風險問題，并盡早將安全性構建在APP開發(fā)階段。