最近國際上為信息安全監聽事件而鬧得沸沸揚揚，貝爾實驗室的工作人員研究針對目前蘋果商店上的企業級移動辦公OA類型應用進行了一次評測。這種類型的應用一般都是涉及到企業的內部信息，信息包括企業的銷售信息、客戶信息、流程審批、財務數據等，這些數據都將在公網上流通。手機app是否針對數據進行加密處理會成為泄密的重要原因，甚至引起黑客的破解非法登陸。

企業移動信息化的開發類型很多，有委托定制、Web app模式、MAStudio移動中間件模式等等。一般用戶都認為只要是手機安裝客戶端模式會比較安全，客戶端模式相對于wap網頁模式安全些，但是，打開手機就是應用，應用背后卻還是一片黑，貝爾實驗室的工作人員教你如何通過最簡單的工具讓app的安全性立刻現形。

首先你需要下載Ethreal工具并且在本機進行安裝，啟動Ethreal后設置本機為移動網關代理服務然后開始捕獲。

啟動手機客戶端app，默認采用輸入用戶名aaa，密碼123 進行黑盒登陸，這樣就可以詳細的查看到app客戶端和服務器的交互過程。貝爾實驗室的工作人員隨機從蘋果商店中下載了如下類型的app進行測試。

采樣一：中石化森美移動辦公

地址：https://itunes.apple.com/us/app/zhong-shi-hua-sen-mei-yi-dong/id597795303?mt=8

系統簡介：系統包括及時收到重要消息、流程管理，查看動態消息，瀏覽相關新聞信息，方便獲得通訊信息，可以讓工作生活變得便捷，流暢。

測試表現：系統采用了jabber進行協議交互，數據基本進行加密處理，表現良好。

采樣二：掌上海航移動辦公平臺

地址：https://itunes.apple.com/cn/app/zhang-shang-hai-hang/id394150747?mt=8

系統介紹： ”掌上海航移動辦公平臺”面向海航的廣大客戶提供更便捷高效的移動辦公服務，包括公文簽批、文件查詢等功能。

測試表現：系統采用明文協議，只對登陸密碼進行了加密處理，存在安全隱患。

采樣三：南海移動OA2012

地址：https://itunes.apple.com/us/app/nan-hai-yi-dongoa2012/id554553293?mt=8

系統介紹：佛山市南海區信息網絡中心為南海電子政務及信息化建設提供技術支持，該程序是在南海區智能協同辦公平臺的基礎上為IPHONE客戶提供移動應用擴展，實現待辦事項、協同事項、公文管理、通訊錄等功能。

測試表現：系統采用了HTTPS加密協議，整個協議和數據都進行了加密處理，加密強度高。

采樣四：寶鋼在線移動平臺

地址：http://www.mastudio.org/iphone/enterprise/

系統介紹：這是寶鋼奉獻給廣大鋼材用戶的自助終端，通過簡潔的手機界面，您可以了解寶鋼價格行情，選購鋼材資源，還可以跟蹤合同進程，管理資金賬戶。該系統基于MAStudio移動中間件開發而成，技術讓生活更輕松，有愛的寶鋼與您共享移動商務的便利。

測試表現：系統采用了比較強的3DES加密體系，整個過程看不出任何協議和數據，加密強度較高。

采樣五：GALANZ格蘭仕移動外勤

地址：https://itunes.apple.com/us/app/ge-lan-shi-yi-dong-wai-qin/id647775660?mt=8

系統介紹：格蘭仕集團是世界級綜合性、領先性家電集團，格蘭仕移動外勤應用是為外勤人員工作管理使用：主要包括通訊錄、通知、培訓、建議等功能。

測試表現：系統是明文協議，明文用戶和名為密碼登陸，未對安全做任何處理。

總結：

以上測試應用從蘋果商店任意抽取，從抽查測試結果來看安全傳輸的方式是多樣的，有的的應用安全體系還是很好的。有的應用安全隱患比較大，特別是采用明文協議的APP，更有甚者采用明文密碼。

貝爾實驗室的工作人員列出這些基本測試，希望能夠引起移動應用開發者和用戶對安全的重視。移動應用的安全不是靠方案寫一下就存放到抽屜里了，它是踏踏實實存在于我們的無線網絡中。