移動服務安全現狀分析！

由於Android開源的環境，導致Android的整體環境都存在很多不安全的因素，同時用戶在移動APP客戶端的便捷應用，也給用戶帶來了巨大的安全隱患。未經過移動服務安全加固的APP存在被靜態反編譯、惡意篡改、二次打包、動態釣魚攻擊等多個安全隱患。靜態破解可讓黑客直接逆向出客戶端所有的功能代碼、加密演算法以及與伺服器通信的相關方法及URL等敏感信息。黑客可以隨意進行惡意代碼注入、篡改欺騙用戶甚至攻擊伺服器；動態攻擊可讓黑客進行相關敏感數據的竊取，如用戶核心賬戶信息、伺服器端相關信息等。

谷歌公司雖然從硬體方面強化設備安全性，通過TrustZone來實現他們的目的。TrustZone是系統內核中的一個獨立於內核中其它部分工作的特殊部分，負責處理最重要和敏感的操作(比如數據加密)。安全性得到一定的提升，用戶將可以在設備上執行設備認證、設備完整性檢查、設備綁定以及其他複雜的操作。但是Android在安全保護方面依然一直受限，因為其對潛在的整合缺少控制權。而且安卓系統的破碎性也讓用戶更難獲得最新的系統更新。

在大多數iOS應用的開發者看來，iOS系統擁有相對封閉的環境和嚴格的審核制度，每個app有著沙盒路徑，與安卓應用相比十分安全，無需進行安全保護。

但是危險遍佈於開發的各個階段，同時對安全的重視程度也間接提現了一個開發者的能力和意識，iOS系統本身漏洞的曝光新聞一直層出不窮，如mach_portal攻擊鏈、阿拉伯字元漏洞等等。數據調查分析公司arxan發布了一個讓人吃驚的數據，該數據顯示iOS平台排名前100的付費應用超過90%被破解。

在這種形式下，移動應用開發者需要改變觀念，除了對安卓應用進行加密保護外，還需要對iOS應用進行加密保護。

幾維安全在2016的APP年度分類排行榜，選取視頻、理財、音樂、電商、新聞、社交、自拍、工具以及遊戲九類APP榜單共計200個APP產品進行了檢測。

據檢測結果,200個APP榜單產品,漏洞總數達到上千個,平均每個APP含有12個漏洞。分行業計,遊戲行業所含漏洞數最高,平均漏洞數目超過15個,安全隱患相對較大;金融理財、電商、社交這三個行業的平均漏洞數都接近或超過13個,同樣需要高度重視。

這些被檢測的APP中近70%面世時間達3-5年,具備成熟的市場口碑,當前用戶規模和資產規模都高於同行業其他產品。它們高於普通APP的商業價值也更容易吸引黑產注意,如果遭遇安全事故,對APP有形的資產和無形的品牌都將造成嚴重損失。幾維安全建議APP開發者們加強移動服務安全工作,切實提高產品的安全性,更好地維護APP用戶利益和公司的品牌形象