移动应用背后的安全危机-国土报中文版

本篇文章2173字，读完约5分钟

我相信每个人在移动设备上安装应用程序时都会有同样的问题:为什么这些应用程序必须阅读我的地址簿、获取我的位置信息、阅读我的短信以及控制我的相机？天啊，对手机应用的各种质疑几乎可以写出10万个理由。顺便说一下，如果你不读这些信息，移动应用程序就不能正常运行吗？事实上，隐藏在所有这些行为背后的恰恰是移动应用面临的安全危机和移动的恶意威胁。

移动应用背后的安全危机

据统计，截至2014年6月，中国网民数量已达6.32亿，手机网民数量达到5.27亿。互联网用户使用手机的比例首次超过使用电脑的比例。与此同时，恶意移动应用的数量正在爆炸式增长。2014年第一季度，恶意移动应用数量超过200万，预计到年底将超过300万，比2012年的35万个恶意应用数量高出8倍以上。

相当数量的移动互联网用户促进了移动应用的繁荣。丰富多彩的移动应用让移动互联网用户有一种挥霍的感觉，变得有吸引力。然而，在网民享受移动应用带来的便利和快乐的同时，恶意攻击者也发现了一些东西，比如网民手机的话费单，比如与手机相关联的网上银行，他们可以通过手机毫无防御地接入企业内部网络。

2014年5月，安全公司praetorian对美国150多家银行的移动银行客户进行了调查，并发布了调查报告《移动银行安全:构建和维护安全的移动应用》。通过调查分析，报告得出结论，美国80%的手机银行客户存在高风险交易风险。

手机银行风险分析报告的调查样本非常丰富，覆盖了美国前50大银行。如美国银行、德意志银行、美国运通公司、花旗集团、摩根大通，美国前50强中最大的地区性银行，如硅谷bk和夏威夷银行，以及美国前50强中最大的50家美国信用合作社，如海军联邦信用合作社等。从调查报告中可以看出，美国50家最大的巨型银行、50家最大的地区性银行和50家最大的联合信贷银行中，有80%以上都面临着手机银行的巨大安全风险。银行业非常重视安全性，最愿意采用最新的安全技术来保护其系统安全。然而，这一行业中大多数最强大的公司在移动银行业务中仍然存在潜在的安全风险，这表明了移动安全问题的严重性。

移动应用背后的安全危机

2014年5月，移动应用安全服务提供商“security”参照中国人民银行2013年发布的《中国金融移动支付-客户端技术规范》，对国内24家金融机构的android手机安全评估进行了调查分析，发现大多数金融机构存在严重的移动安全风险。更为集中和突出的移动安全风险包括动态调试、代码注入、反编译、篡改、接口劫持等

图:金融机构中安卓手机的移动安全风险

根据gartner的2014年信息安全趋势和摘要，移动恶意代码主要是木马短信，其次是后门程序。此外，对移动设备的所有恶意代码攻击都需要用户交互。也就是说，如果一个恶意的移动应用程序想要作恶，它首先需要用户的同意。因此，这些恶意的移动应用程序通常将自己伪装成各种短消息来欺骗人们，例如过去非常成功的xx工件。此外，许多流行的移动应用程序受到恶意攻击者的青睐。恶意攻击者可能会在这些移动应用程序中秘密加载恶意代码，或者他们可能会直接将自己伪装成这些应用程序来欺骗用户。

移动应用背后的安全危机

目前，移动应用主要面临10大安全风险:

1.服务器控制薄弱

2.不安全的数据存储

3.传输层保护不足

4.意外的数据泄漏

5.授权认证薄弱

6.破解密码算法

7.客户注入

8.通过不可信输入的安全决策

9.会话会话处理不当

10.缺乏二进制文件保护

面对应用安全问题，新的安全产品，如网络应用防火墙和ngfw，已经帮助用户建立了坚实的安全防线。然而，由于缺乏有效的安全产品，移动终端的安全系统非常脆弱。这相当于在应用系统上打开了一个易碎的玻璃窗入口，让恶意攻击者可以随时随地闯入，轻松进入应用系统，比如进入网上银行系统窃取用户的资金，进入企业业务系统窃取机密数据。

移动应用背后的安全危机