隨著移動應用使用率的大幅增長，其被攻擊的風險也在增加。根據Gartner的一項研究，“75%的移動應用程序將無法通過基本的安全測試”。大多數企業主認為移動應用不容易受到網絡攻擊。然而，對于移動APP黑客已經總結出方便有效的攻擊方法與工具腳本，保護移動應用已經成為迫在眉睫的首要任務。

根據大數據資訊機構HPE(慧與)的一項研究中，對600多家公司的2000多個移動應用進行了測試，結果如下:

• 35%的應用程序通過HTTP發送用戶名和密碼， 18%通過SSL/HTTPS協議進行加密傳輸用戶名與密碼。
• 75%的應用程序沒有使用密文來存儲移動設備上的數據。
• 71%的應用程序沒有使用安全加固產品。

APP安全威脅分類

在討論如何保護移動應用程序免受攻擊之前，讓我們先簡要概述一下常見的APP應用程序安全威脅。

1. 來自PC端的威脅

許多APP允許用戶從PC上下載，然后將其上傳到移動設備上，這會造成跨設備的威脅。

2. 安卓移動應用線上平臺存在風險

移動應用開發平臺審核審計參差不齊，多達90%的移動應用程序存在漏洞。在iOS設備方面，蘋果公司可做相對嚴格的安全準入審計。相比之下，安卓設備由于設備類型、app商店安全性標準不統一、需要覆蓋的安卓版本過多、開源等等特性，安卓APP往往存在更多的安全風險。

3. 來自IOT設備的風險

萬物互聯的時代下，物聯網主要目的是收集用戶數據，利用這些數據提供更好的用戶體驗。物聯網設備往往是通過安卓app進行控制操作，甚至有些物聯網設備原本就是安卓操作系統。安卓應用安全漏洞會給設備帶來了難以控制的安全風險。

4. 手機病毒

移動設備處于被惡意軟件、木馬、病毒和間諜軟件攻擊的高風險中，從而使黑客能夠竊取數據。

5.未授權訪問

破解移動app，使得未經授權的用戶可以訪問您的社交媒體網絡、電子郵件帳戶和應用程序。

6. 黑產

黑客利用安卓手機開源等特性，分析移動APP，利用改機軟件，修改系統信息偽造自己的身份。從而欺騙APP的身份認證等環節，達到薅羊毛等目的。

如何保護您的移動應用程序

看完了上述移動應用的威脅之后，我們來簡要了解一下應對措施。

1. 靜動態保護

移動應用程序開發階段，確保使用安全的編譯腳本與編譯選項，混淆代碼讓黑客無法獲取核心邏輯，確保使用安全的第三方庫，對每行代碼進行安全審計。黑客通常會通過審計逆向偽代碼來發現漏洞并控制、訪問你的應用程序，獲取手機或應用的敏感個人信息等。

除此之外，需要防止app被動態調試與分析，加入防調試機制。對APP定期進行模糊測試，確保其外部接口不會被入侵。尋找強有力的第三方安全測試公司進行檢測也是一種好的選擇。

2. 增加身份認證算法強度

接口身份認證和授權為應用程序的登錄增加了安全性。確保APP接口只提供對APP重要功能的訪問。認證部分全部轉移線上去運算，本地不要出現算法邏輯，關鍵證書內容。增加身份認證因子，可以采用手機端基本信息作為證書生成的重要因子。

3. 保證web/后端安全

實現APP安全，請首先確保在服務器安全，防止未經授權的訪問以保護機密數據。對服務器端端所有接口要進行模糊測試。

可以使用容器化后端部署保護數據和文檔。此外，需要經過認證機構滲透測試，其結果應符合網絡安全標準。通信手段需使用TLS、VPN和SSL等進行加密，防止第三方中間人攻擊等。

4. 安全支付

無論你是在網上提供收費服務，還是在網上銷售一些產品，都必須有一個安全的支付網關。需要將支付系統和客戶端之間的敏感通信增加多因素標記、加密等等。

5. 威脅情報平臺

隨著移動設備的增加，威脅類別也正在迅速演變，我們不可能預防任何的威脅。但是，您可以開放Web安全應急響應平臺幫助處理移動威脅。

此外，APP廠商應該告知用戶，在他們的設備上APP應用廠商將安裝一個額外的移動安全sdk探針。針對手機基本信息、未知的事件等進行采集，上報到您的威脅情報平臺。此外，如果你的應用程序出現任何安全漏洞，sdk探針也可以通知你。

總結

企業高管已經十分重視當前高速增長的APP安全問題。企業內部安全負責人更應該從基本做起，關注APP在開發階段所產生的隱患，并遵循本文的建議，采取了所有必要的步驟來保護您的應用程序免受網絡、惡意軟件、病毒和間諜軟件等攻擊。選擇良好的三方滲透服務，發現未知問題，增強安全團隊應急響應能力。