APP漏洞将成黑客攻击突破口 应用安全不容忽视

国家互联网应急中心之前发了一份资料，发现2013年，移动互联网恶意程序数量大幅增长，国家互联网应急中心通过自主监测和交换捕获的 移动互联网恶意程序样本达70.3万个，较2012年增长3.3倍，针对安卓平台恶意程序占99.5%。而另一方面发现，2013年我国境内感染木马僵尸 网络的主机为1135万个，首次出现下降，降幅达22.5%。根据专家的分析来说，一方面PC的安全治理比较有成效，另外新的问题出现了——移动互联网恶 意病毒涨了三倍，根据分析，原来黑客们将注意力转向更能获益的移动互联网领域。

其实，上次携程漏洞泄 密事件的起因就是携程APP端存在漏洞——就是携程客户端调试接口未关闭导致可利用客户端的调试功能获取指定客户的银行卡资料。传统的PC端安全已经发展 了很多年，而且许多的大的安全厂商也有了很多经验，所以PC端的攻击会越来越难，而移动互联网属于刚火爆，很多传统的安全厂商还没有注意到，虽然bat安 全厂商已经在移动端布局，但是也主要是把精力放在C端用户，C端用户是几个大的安全厂商的争夺高地，比如安全管家等产品。但是针对B端用户，即移动互联网 开发者、转型移动互联网的传统互联网行业，在安全方面经验还不是很足，一方面移动互联网行业是个新兴的领域，二是移动终端的系统如android、ios 有别于传统的windows、linux系统，也属于新的系统，传统安全厂商对新系统的研究也需要一段时间，这个时间落差必然导致了黑客将会将攻击注意力 转移到新的系统上。

来自乌云漏洞报告平台显示，支付宝、360手机助手、中电信客户端、灵犀等知名应用都出现漏洞，一个月内出现高达十多次的APP端漏洞，这些数据说 明了手机APP端以后将成为黑客的重点攻击领域，来自黑客业内的一句话“能公开的那些漏洞，其实很多地下黑客已经玩腻了”，这也说明了APP端的安全已经 是岌岌可危了，黑客将会以手机APP端的漏洞做为突破口，进而攻击APP背后的服务器以及其他数据，携程泄露信用卡事件就是一个很好的例子。

多方原因导致安卓APP不安全

其实APP的安全问题，主要集中在android系统方面，当前能被黑客攻击的安全问题也主要集中在android系统上，ios系统安全性相对较强。安卓系统的开源性，让安卓系统本身都充满了安全隐患，比如openSSL漏洞、Pileup漏洞、耗电等层出不穷的漏洞，虽然安卓系统已经在不定期的更新升级修补已经发现的漏洞，但是在此之前已经有太多的安卓用户“受伤”。

安卓系统的开源性和手机厂商的多样性，导致了安卓系统存在各个手机品牌中，还有一部分手机厂商对安卓系统修改的面目全非等多种问题，导致安卓系统的 安全问题无法避免。比如最近的“心脏流血”漏洞在普遍的安卓平台上不会出现，但是有一个例外就是安卓4.1.1版本含有此漏洞，Android 4.1.1目前仍然用于数百万台智能机和平板电脑中，包括三星电子、HTC以及其他制造商的一些流行定制机型。来自谷歌统计数据显示，34%的Android设备使用了Android 4.1的不同版本系统。谷歌此前表示，Android设备的全球激活量已经超过9亿台，按照34%算下来，全球至少有3亿用户受到“心脏流血”漏洞的影响，手机制造商对系统的修改和不及时升级都会导致安卓漏洞不会被及时修复，所以黑客就有时间来攻击这些不及时更新的系统。

除了安卓系统的安全问题，安卓安全的一部分问题也来自开发者。笔者曾经咨询过梆梆安全的CTO问过为什么这么多的APP容易被盗版、以及二次打包等 这些问题，是不是都是安卓系统的问题?CTO给笔者的回复是当今许多的APP开发工程师经验不够，对安全了解甚少，同时在代码书写上存在严重的逻辑漏洞、 不规范等行为，导致写出来的代码很容易被黑客攻击或者二次打包，这些行为也给黑客留了许多机会。

加固能保护APP的安全

面对黑客的攻击和那么的安全问题，APP的安全是否无法解决了?其实也不是。遍历PC端的安全解决方法，主要是通过防火墙等阻挡外部的攻击，所以 APP的安全保护方法也是如此。因为APP的安全问题，不仅除了系统安全问题无法避免，代码级的安全问题也无法避免，普通的开发者可以通过混淆等技术来阻 挡部分恶意攻击者对代码的反编译，但是黑客还可以找到另外的其他方法来攻击APP，就像守城一样，城墙筑的再高，攻击者也总能找到漏洞，但是可以通过加固 的方式来保护APP的安全，就像在APP的外层加了一层“防火墙”，在安卓系统和APP之间筑一道“防火墙”，以增加黑客对APP的攻击难度，从而一定程 度上保护了APP的安全。

-------------------------