编辑导语：说到应用安全漏洞，大家都很熟悉。网上关于app安全漏洞和用户信息泄露的新闻层出不穷。安全就像空气。虽然看不见摸不着，但一旦出现安全问题不及时修复，对企业将是致命的伤害。分析了移动应用安全的主要风险，指出了如何保证安卓应用的安全，如何让iOS应用安全存储数据。

在过去的10年里，我们见证了移动应用开发的快速发展，但网络犯罪始终如一。事实上，移动应用商店中的大多数应用可能存在潜在的安全风险。

统计显示，89%的热门应用是仿冒的，18个行业的Top10应用中有98%易受攻击。一旦这些漏洞被利用，将对开发者和用户产生很大的影响。

在本文中，我们将进一步讨论在开发之后应该实现哪些基本的移动应用安全实践。

00-1010

一、移动应用程序安全性的主要风险

在移动设备之外，应用程序和用户之间的通信是通过服务器进行的，服务器是全世界黑客的主要目标。服务器漏洞背后的主要原因是，有时开发人员忽略了必要的服务器端安全考虑。

由于移动应用缺乏安全考虑，安全保护预算不足，系统差异等。可能会造成安全漏洞。通过自动漏洞扫描工具扫描应用程序，识别尽可能多的漏洞并及时修复。

通过这种方法，可以发现并解决许多常见的问题和bug。

1. 弱服务器端控件

这也是OWASP应用需要解决的主要安全问题之一，因为如果一个移动应用缺乏二进制保护，任何黑客或对手都可以轻松使用反编译工具将广告代码和相关配置插入到应用中，他们还可以在第三方应用市场和论坛上重新发布盗版应用。

这种行为不仅会造成数据泄露，危及产品和用户的利益，还会影响企业的品牌声誉。为了避免这种情况，部署二进制强化过程非常重要。

通过二进制增强，二进制文件将被相应地分析和修改，以保护它们免受移动应用程序的常见安全威胁，这允许在没有源代码的情况下修复遗留代码本身的漏洞。

应用还应遵循越狱检测控制、校验和控制、证书锁定控制和调试器检测控制的安全编码技术。

00-1010移动应用的另一个常见安全漏洞是缺乏安全的数据存储系统。开发人员通常依靠客户端存储来获取内部数据。然而，当竞争对手获得移动设备时，这些内部数据很容易被访问、使用或操纵。

这可能会导致身份盗用、声誉受损和外部策略违规(PCI)。跨平台保护数据存储的最佳方式是通过操作系统提供的基本加密来构建额外的加密层。

这大大提高了数据的安全性。并且减少了对默认加密的依赖。

2. 缺乏二进制保护

传输层是客户端和服务器之间传输数据的方式。如果此时没有引入合适的移动应用安全标准，任何黑客都可以访问内部数据，窃取或修改数据，这将导致身份盗窃和欺诈等威胁。

为了加强传输层的安全性，可以在iOS和安卓应用中加入SSL固定。此外，可以使用行业标准密码套件来代替传统密码套件。

由于混合SSL会话，为了避免暴露用户的会话id，应用程序通过浏览器/webkit运行例程时，需要使用第三方分析公司、社交网络等的SSL版本。

3. 数据存储安全

当关键的移动应用程序存储在移动设备上易受攻击的位置时，会发生意外的数据泄漏。

例如，一个应用程序存储在其他应用程序或设备可以访问的地方，这最终会导致数据泄漏和未经授权使用该应用程序的数据。

监控常见的数据泄漏点，如日志、应用后台、缓存、本地存储等。在了解了困扰移动应用的主要风险和一些避免风险的最佳移动应用安全事件后，让我们继续讨论安卓和iOS移动应用安全的细节。

4. 传输层保护不足

5. 数据泄漏

一般来说，设备的内部存储容量是有限的。

这种缺陷通常会迫使用户使用外部设备，如硬盘和闪存驱动器，以确保数据安全，这些数据有时包含敏感和机密数据。

因为存储在外部存储设备上的数据可以被设备上的所有应用程序轻松访问，所以以加密格式保存数据非常重要。移动应用程序开发人员最广泛使用的加密算法之一是AES(高级加密标准)。

二、如何确保Android应用程序的安全性

所有安卓应用都有一个内部存储目录，存储在这个目录中的文件非常安全，因为它们使用MODE_PRIVATE模式来创建文件。

简单地说，这种模式确保特定应用程序的文件不能被存储在设备上的其他应用程序访问。

因此，它是移动应用程序身份验证的最佳实践之一。

00-1010应用程序和服务器之间的通信应通过HTTPS连接进行。大量安卓用户经常连接到几个公共区域的开放式WiFi网络。使用HTTP而不是HTTPS会使设备易受攻击。

许多恶意热点的攻击，这些热点很容易改变HTTP流量的内容，使设备的应用程序出现异常。

其他主要的移动应用程序开发安全最佳实践包括：验证用户输入，在发布应用程序之前避免个人数据和ProGuard的使用。

三、如何使iOS应用程序安全数据存储

为了极大地简化应用程序的架构并提高其安全性，最好的方法是将应用程序数据存储在内存中，而不是将其写入磁盘或发送到远程服务器。

尽管在本地存储数据是唯一的方式，但也有多种方法可供选择：

钥匙串：无需频繁访问即可存储少量敏感数据的最佳位置是钥匙串。存储在密钥链中的数据由操作系统管理，任何其他应用程序都无法访问。缓存：如果你的数据不需要在iCloud或iTunes上备份，那么你可以将数据存储在应用程序沙箱的缓存目录中。默认系统：默认系统是一种方便的存储大量数据的方法。

1. 网络安全

苹果公司以其安全和隐私政策而闻名，多年来，它一直致力于达到这一水平。

几年前，苹果公司推出了App Transport Security，该软件强制第三方移动应用程序通过更安全的连接（例如HTTPS）发送网络请求。

2. 敏感信息的安全

大多数移动应用程序使用敏感的用户数据，如通讯录、位置等。但作为开发人员，需要确保要求访问用户的信息都是必须访问的，更重要的是如何储存这些信息。

如果需要的信息可以通过本机框架进行访问，那么复制和存储该信息是多余的。

3. 移动应用程序安全实践中面临的挑战

有记录表明，如果没有采取足够的措施来保护移动应用免受外部恶意软件攻击，移动应用程序将变得不堪一击。如果未按照要求完成移动应用程序安全性测试，则随时可能出现以下挑战。

4. 设备碎片化

在应用商店发布应用程序之前，必须遵循一些基本流程。

有必要在移动应用程序测试策略中引入涵盖不同分辨率、功能、特性和限制的各种设备，检测设备的特定漏洞可以让应用程序开发人员在应用程序安全措施方面领先一步。

不仅是设备，还有流行操作系统的不同版本都是重要的一步，要在应用程序发布之前覆盖所有可能的漏洞。

5. 弱加密

在弱加密的情况下，移动设备很容易接受来自任何可用设备的数据。

恶意软件攻击者一直在寻找公共移动设备中的开放端，如果您不严格遵循加密过程，则您的应用可以成为开放端。因此，将精力投入到强大的加密上也是制作防黑客移动应用程序的最佳方法之一。

6. 较弱的托管控件

这个主要发生在企业的第一个移动应用程序开发期间，通常会将数据暴露给服务器端系统。

因此，用于托管应用程序的服务器必须有足够的应用程序安全措施，以避免任何未经授权的用户访问重要数据。

通过对移动应用程序的安全审核，可以采用多种方法抵御来自未知来源的攻击。在开放的数字世界，没有用户能够免受恶意软件和安全漏洞的威胁，但是这些措施可以最大程度的保障个人数据在移动设备上的安全性。

APICloud是国内低代码开发平台的引领者与效率革命的探索者，基于对云原生、DevOps、混合开发等能力的集成，APICloud从移动开发演进为低代码开发平台，APICloud致力于为各行业提供app定制与企业数字化服务。

你是如何看待移动app开发代码和数据安全性的？app开发安全做到多少为必要？欢迎大家一起来评论区交流讨论~

本文由 @Wulicuicui na~ 原创发布于人人都是产品经理，未经许可，禁止转载。

题图来自 Unsplash，基于CC0协议