警惕：行動裝置 AppApp背後的安全危機！

標籤：android   style   http   io   color   ar   使用   sp   檔案   

       相信每個人在自己的行動裝置上安裝應用時都會有同樣的疑問：為什麼這些應用都要讀取我的通訊錄、擷取我的定位資訊、讀取我的簡訊、控制我的照相機……天啊，針對手機應用的各種疑惑都快可以寫十萬個為什麼了。這裡問一句，如果不讀取這些資訊行動裝置 App就無法正常運行嗎？實際上在這一切動作背...
　　－－這是一個移動的時代，這是一個美好的時代，這更是一個讓人不放心的時代。
　　相信每個人在自己的行動裝置上安裝應用時都會有同樣的疑問：為什麼這些應用都要讀取我的通訊錄、擷取我的定位資訊、讀取我的簡訊、控制我的照相機……天啊，針對手機應用的各種疑惑都快可以寫十萬個為什麼了。這裡問一句，如果不讀取這些資訊行動裝置 App就無法正常運行嗎？實際上在這一切動作背後所隱藏的恰恰是行動裝置 App所正在面臨的安全危機--移動惡意威脅。
　　據統計，截止2014年6月中國網民規模已達6.32億，而手機網民的規模更是達到了5.27億，網民使用手機上網的比例首次超過使用電腦上網的比例。而與此同時，惡意移動APP數量也正在暴增，2014年第一季度移動惡意APP的數量已經超過200萬，預計年底將突破300萬，與2012年35萬的惡意APP數量相比增長超過了8倍。
　　手機網民可觀的數量規模促使了行動裝置 App的繁榮，豐富多彩的行動裝置 App已經使得手機網民有了一種“亂花漸欲迷人眼”的感覺，可就當網民們正在享受行動裝置 App所帶來的便捷與歡樂時，惡意攻擊者也從中發現了一些東西，比如網民手機裡的話費，比如與手機關聯的網上銀行，比如可以通過手機毫不設防的訪問企業內部網路……2014年5月，安全公司PRAETORIAN針對美國150多家銀行的手機銀行用戶端進行了調研，發布了調查報告《Mobile Banking Security：Building and Maintaining Secure Mobile Apps》。報告通過調研分析得出結論：美國80%的手機銀行用戶端存在高危交易風險。
　　該移動銀行風險分析報告的調查樣本非常豐富，覆蓋了全美最大的50個巨型銀行(Top 50 Megabanks)，如美國銀行(Bank of America)、德意志銀行(Deutsche Bank)、美國運通(American Express Company)、花旗銀行(Citigroup)、摩根大通(JP Morgan Chase)，全美Top 50最大的地區性銀行(Largest Regional Banks)，如矽谷銀行(Silicon Valley BK)、夏威夷銀行(Bank Of Hawaii)，以及全美Top 50最大的信貸聯盟銀行(Largest 50 U.S. Credit Unions)，如聯邦海軍信貸協會(Navy Federal Credit Union)等。從調查報告中可以看到，全美最大的50個巨型銀行、最大的50個地區性銀行、最大的50個聯盟信貸銀行裡，超過80%都在移動銀行上面臨巨大的安全風險。銀行業是最為重視安全的行業，也是最願意採用最新安全技術保護其系統安全的行業。但就是這樣一個行業裡大多數最有實力的公司，依然在手機銀行方面存在安全隱患，由此可見Mobile Security問題的嚴峻性。
　   金融機構Android手機Mobile Security風險
　　在Gartner的《2014年資訊安全趨勢與總結》裡顯示，移動惡意代碼主要表現為特洛伊簡訊，其次是後門程式。另外，所有行動裝置惡意代碼攻擊都需要使用者的互動。也就是說，惡意行動裝置 App要想作惡，首先還是需要得到使用者的“同意”。所以這些惡意行動裝置 App一般會偽裝成各類簡訊誘騙人們上當，就比如前一陣“非常成功”的“XX神器”。另外，許多很火的行動裝置 App也被惡意攻擊者所鐘意，惡意攻擊者或者會在這些行動裝置 App裡偷偷載入惡意代碼暗度陳倉，或者會直接偽裝成這些應用誘騙使用者上當。
　　目前行動裝置 App主要面臨10大安全風險：
　　1．弱服務端控制
　　2. 不安全的資料存放區
　　3. 傳輸層保護不足
　　4. 意外的資料泄露
　　5. 授權認證較弱
　　6. 破解密碼演算法
　　7. 用戶端注入
　　8. 通過不可信輸入的安全決策
　　9. Session會話處理不當
　　10. 缺乏二進位檔案保護
　　面對應用安全問題，已經有Web Application Firewall、NGFW等新型安全產品協助使用者建立起了堅固的安全防線。但移動終端由於缺乏有效安全防護產品，安全防護體系十分脆弱。這就等於在應用系統上開了一個易碎的玻璃窗戶入口，讓惡意攻擊者可以在任何時間、任何地點破窗而入，輕鬆進入應用系統內部，比如進入網銀系統偷走使用者的金錢，進入企業業務系統竊取機密資料。
　　實際上，這些都僅僅是行動裝置 App背後安全危機的冰山一角。現在行動裝置 App無論從產品上還是意識上都在面臨安全的空窗期，惡意攻擊者必將充分利用這一時期發起更多攻擊。此時我們需要考慮的是如何才能建立一個牢固的Mobile Security保護體系，行動裝置 App安全已經時不我待。對於行動裝置 App背後的安全危機，行動裝置 Appdex源碼檔案安全性是最重要的，因此，這個dex源碼加密保護其實很有必要，在這個方面，可以做到的有愛加密這個平台，不同類型的應用也有不同的加密保護方案，詳細可以在這裡瞭解： http://www.ijiami.cn/appprotect_mobile_games 

警惕：行動裝置 AppApp背後的安全危機！