移動服務安全現狀分析！

因爲Android開源的環境，致使Android的總體環境都存在不少不安全的因素，同時用戶在移動APP客戶端的便捷應用，也給用戶帶來了巨大的安全隱患。未通過移動服務安全加固的APP存在被靜態反編譯、惡意篡改、二次打包、動態釣魚攻擊等多個安全隱患。靜態破解可以讓黑客直接逆向出客戶端全部的功能代碼、加密算法以及與服務器通訊的相關方法及URL等敏感信息。黑客能夠隨意進行惡意代碼注入、篡改欺騙用戶甚至攻擊服務器；動態攻擊可以讓黑客進行相關敏感數據的竊取，如用戶核心帳戶信息、服務器端相關信息等。

谷歌公司雖然從硬件方面強化設備安全性，經過TrustZone來實現他們的目的。TrustZone是系統內核中的一個獨立於內核中其它部分工做的特殊部分，負責處理最重要和敏感的操做(好比數據加密)。安全性獲得必定的提高，用戶將能夠在設備上執行設備認證、設備完整性檢查、設備綁定以及其餘複雜的操做。可是Android在安全保護方面依然一直受限，由於其對潛在的整合缺乏控制權。並且安卓系統的破碎性也讓用戶更難得到最新的系統更新。

在大多數iOS應用的開發者看來，iOS系統擁有相對封閉的環境和嚴格的審覈制度，每一個app有着沙盒路徑，與安卓應用相比十分安全，無需進行安全保護。

可是危險遍及於開發的各個階段，同時對安全的重視程度也間接提現了一個開發者的能力和意識，iOS系統自己漏洞的曝光新聞一直層出不窮，如mach_portal攻擊鏈、阿拉伯字符漏洞等等。數據調查分析公司arxan發佈了一個讓人吃驚的數據，該數據顯示iOS平臺排名前100的付費應用超過90%被破解。

在這種形式下，移動應用開發者須要改變觀念，除了對安卓應用進行加密保護外，還須要對iOS應用進行加密保護。

幾維安全在2016的APP年度分類排行榜，選取視頻、理財、音樂、電商、新聞、社交、自拍、工具以及遊戲九類APP榜單共計200個APP產品進行了檢測。

據檢測結果,200個APP榜單產品,漏洞總數達到上千個,平均每一個APP含有12個漏洞。分行業計,遊戲行業所含漏洞數最高,平均漏洞數目超過15個,安全隱患相對較大;金融理財、電商、社交這三個行業的平均漏洞數都接近或超過13個,一樣須要高度重視。

這些被檢測的APP中近70%面世時間達3-5年,具有成熟的市場口碑,當前用戶規模和資產規模都高於同行業其餘產品。它們高於普通APP的商業價值也更容易吸引黑產注意,若是遭遇安全事故,對APP有形的資產和無形的品牌都將形成嚴重損失。幾維安全建議APP開發者們增強移動服務安全工做,切實提升產品的安全性,更好地維護APP用戶利益和公司的品牌形象