全球最易受到攻击的新兴市场
目前,智能手机上80%的使用量来自移动应用,这些应用可以为用户提供网络服务及支付功能,并涉及个人数据。然而,在这些企业的网络环境下,个人数据往往容易被盗、丢失。更令人担忧的是,在多种因素的影响下,移动设备较其它运行环境而言,遭受恶意攻击的风险更高。
黑客喜欢的目标
移动设备是黑客最喜欢的目标,他们最常用的方法是通过手机软件和应用程序进行攻击。移动设备往往大量使用明文文件,如果受到攻击,操作系统或单个应用程序中包含的个人及付款数据往往难以得到完善保护。
“速度至上”背后的安全隐患
很多企业急于将产品推向市场,而忽视了软件的安全性,这给移动应用的发展带来巨大挑战。用户可以自行采取一些简单的安全操作,如添加设备密码,不下载来自不受信任的来源软件等,但如果不保持时刻警惕,依然会给黑客留下可乘之机。
常见的隐患包括:

收集凭证

拦截敏感数据

转移收入
忽视产品安全,而急于将产品推向市场,不仅可能导致产品出现缺陷,也会导致无法预见需要安全编码的潜在用户案例。 因此,如何实现手机应用程序开发中的“左移”成为关键——从开发过程初期开始进行定期测试,尤其是使用白盒测试方法—静态代码分析时,可以最大化提升效率,确保软件安全性。

43%
的企业选择牺牲手机软件的安全性(2019年)。
Verizon

Verizon 2020年移动安全指数显示,约43%的企业将产品发布时间凌驾于安全性之上,由此产生的大量漏洞也为黑客攻击埋下安全隐患。 应用程序的安全挑战不仅存在于手机设备源代码,也来自客户端服务器系统中来回传输的数据。
服务器端的安全检测同样重要。如果忽视了对服务器端的测试,我们可能会面临各种针对用户的攻击(如网络钓鱼等邮件),此外,客户端与服务器端的数据通讯安全隐患也会导致大量数据泄漏。
常见的攻击方法

输入输出验证
在排名前25位的CWE中,输入输出验证不充分是一个常见的手机应用程序漏洞,尤其是在与服务器交互时,可能产生安全隐患。当输入未经验证时,攻击者可以建立自己的输入,从而导致数据泄露。

不安全的数据协议
对于用于存储和传输的手机应用程序而言,不安全的数据协议是一大安全隐患——密码、付款信息、个人信息均可能受到威胁。

会话过期机制
会话过期机制的不完善可能导致安全漏洞。 用户退出应用后,应该确保标识符失效,否则,攻击者可能会使用这些标识符来模拟用户,并攻击系统。
鉴释的解决方案
漏洞修复指导
爱科识可以识别缺少验证和清理功能的客户端和服务器端应用程序,并提供漏洞修复指导。
加密算法
爱科识可基于最佳实践的规则,辨别应该在何处使用加密算法。
跨数据流分析代码
爱科识通过跨数据流来分析代码,从而可以检测会话过期后标识符是否失效。
Java是安卓应用程序开发时最受欢迎的语言。通过使用大量的CERT Java规则,爱科识可以解决Java中常见的漏洞。

