2021年,全球智能手机用户数为63.78亿,这占了全球人口总数的80.69%。如此庞大的用户规模,令智能手机成为了黑客的新首选攻击目标。
然而,移动应用安全在开发过程中没有得到应有的重视。Intertrust的 2016 年关于移动安全的报告指出,每年在移动应用开发上花费 3400 万美元,而在应用安全上仅花费 200 万美元。此外,Verizon 的 2020 年移动安全指数显示,43% 的公司在过去一年中忽视了移动安全,许多移动应用开发团队的研发需求中,优先考虑上市时间,而不是安全。
什么是移动应用安全?
移动应用安全是保护移动应用免受外部威胁的措施,外部威胁包括恶意软件、黑客或非法操纵等等,它们的目标是非法利用移动设备中的个人和财务信息(例如银行信息、当前位置)而获利或达成其它恶意企图。
移动应用现状和用户观念改变
移动应用现在发挥着不可或缺的作用,许多企业和用户依赖它们进行各种活动,例如工作、教育、娱乐等。移动应用安全变得比以往任何时候都更加重要。近日,Threat Fabric 的安全研究人员发现一批应用是银行木马,但是它们已被从 Google Play 商店下载超过 300,000 次!这些木马应用的功能是窃取用户密码和双因素认证码。以往,用户认为 Google Play 商店和 Apple Store 上的每个应用都是安全合法的,现在这个想法是错误的。应用开发人员需要了解他们在应用安全方面的角色,以及如果开发的应用不符合安全标准时,用户或业务数据将的面临风险。
不安全应用面临的风险
移动应用都会有各自的漏洞。作为开发人员,应加强应用安全的考量以及相关事项,包括但不限于以下常见的移动应用安全威胁。
代码注入
代码注入,指通过移动应用在移动设备上执行恶意代码。请勿采用没有任何输入限制的登录表单,因为这样会让黑客有机会输入任何字符甚至 JavaScript 代码片段来破坏用户数据。
数据泄露
移动应用通常需要通过网络来访问或传输数据,这可能会导致暴露用户数据。例如,曾经广受欢迎的 “愤怒的小鸟” 游戏,已被标记为“泄漏”应用,因为NSA 利用它来收集大量个人数据(包括年龄、性别、位置等)。
攻击者修改输入
开发人员可能会假设,用户通常无法修改诸如 cookie、环境变量和隐藏表单字段之类的输入。但是,不受信任的恶意攻击者可以修改这些输入。当安全决策(例如身份验证和授权)是基于这些输入,那么,攻击者可以绕过应用的安全措施,给业务和用户带来危害。
数据在传输层保护不足
在设计移动应用时,通常会需要通过网络和互联网,来在客户端和服务器交换数据。如果应用没有足够的措施来保护网络中的数据和交换,无法进行所需的认证和加密,会让黑客在数据传输过程中轻易获取数据。
以上列出的是不安全应用目前面临的一些威胁,也是应用开发人员应关注和做出相应预防措施的事项。随着新技术的不断发展,开发者也将面临新的安全威胁,因此应持续关注如何确保应用安全。在下一篇文章中,将会介绍企业可以采取哪些措施来保护企业应用。
参考资料:
https://www.bankmycell.com/blog/how-many-phones-are-in-the-world
https://owasp.org/www-project-mobile-top-10/2014-risks/m3-insufficient-transport-layer-protection
https://www.informationweek.com/mobile-applications/mobile-app-development-5-worst-security-dangers