黑客最讨厭的 5 個移動應用安全技術

企業程序和實踐操作的數字化是行業發展的趨勢。越來越多的企業正在為員工和客戶開發移動端的企業應用程式，這一趨勢引起了生産商和黑客的共同關注。

gartner的研究主管dionisio zumerle表示，“移動環境是在不斷發展的，會不斷出現新的安全漏洞和威脅。應用程式開發人員缺乏移動環境的專業知識，并且傾向于使用傳統的應用程式開發流程，将重點放在了功能上，就忽視了安全問題。”

為什麼轉移到移動裝置之後一切會變得不同呢？首先，這些裝置以及裝置中存放的敏感資料都更加容易丢失或被盜；第二，利用移動裝置漏洞創造的新型攻擊 不斷湧現。相鄰裝置上安裝的惡意軟體都可以用來提取本裝置中的敏感資料。電子竊聽技術可以截獲程式和企業之間通過無線傳輸的資料。黑客也可以重新打包應 用，在其中添加惡意代碼，然後重新上傳到應用商店，這種攻擊手段已經被廣泛用于與銀行有關的應用程式中。

下面列出了五種方法，首席資訊安全員可以使用這些方法來保護自己企業應用的安全：

鎖定應用程式權限。移動應用程式在與裝置的硬體進行互動的時候都需要擷取使用者權限。允許程式連接配接到裝置的攝像頭或是麥克風固然友善，但也增加了安全風險。為了企業利益，資訊安全員們需要嚴格控制每個應用程式執行其功能所需的權限。

不要僅僅依賴于用戶端審查。使用者身份檢查和應用程式完整性檢查不應該隻是由用戶端執行。黑客可以很容易地避開這些檢查來通路存儲在應用程式中的敏感資料。這些檢查應該由伺服器執行。如果有些資訊真的很敏感，應該進行更加全面的文本檢查，比如說嘗試登陸的地理位置。

檢視第三方的專業水準和測試頻率。資訊安全員們需要評估第三方處理移動應用程式安全問題的能力。有些企業會用内部資源來支援編碼安全控件，但是這些企業可能會采用早期的攻擊性強的技術。

對于大多數企業來說，内部建立的安全性是難以維護和發展的。資訊安全員們應該考慮使用外部方式來建構安全代碼。有時候可能需要聘請顧問或是雲服務提供商。不管是單獨完成，或是尋求外部支援，都需要在開發之前使用一個第三方工具測試應用程式的安全性。

加強應用程式。逆向工程現在是一種常見技術，用于找出系統細節以及用惡意代碼重新封裝應用。要想阻止這種做法，你可以使用第三方工具來混淆軟體代碼，這樣會讓攻擊者很難了解應用程式的具體操作。

執行定期安全檢查。需要持續關注安全問題，做法就是定期執行平台健康檢查，來不斷識别薄弱點。比如說，你可以檢查内置應用程式沙盒是否遭到破 壞，這樣就可以知道是否有ios裝置已經越獄，是否有安卓裝置已經root。不過要記住保護使用者隐私，可以考慮侵入性健康檢查，在應用程式外圍對程式的整 體運作情況進行檢查。

gartner客戶可以閱讀另一篇相關報告，即《避免移動程式開發中的安全陷阱》。zumerle先生會在2016年3月14日-15日在倫敦舉行的2016年度gartner身份&通路管理峰會上做出進一步分析。你可以在twitter上使用#gartneriam标簽對事件的相關更新進行進一步了解。

====================================分割線================================