新思科技:手机APP仍然缺乏强健的安全性

2019-11-06来源: EEWORLD作者: 新思科技软件质量与安全部门资深策略策划师Taylor Armerding关键字:手机APP

打开智能手机,我们可以进行支付、聊天、付款、叫外卖、打车、购物、医院挂号等等,现代人的生活似乎已经离不开这些各式各样的应用软件了。与此同时,功能越来越丰富的背后也隐藏着隐患,危害到用户的信息安全和财产安全。

 

image.png


人们每天携带的移动设备里安装了很多应用程序,但这些应用程序仍然缺乏强健的安全性。为什么会存在这样的问题呢?研发人员又该如何解决?

 

手机应用程序(APP)带来了极大的便利,改变了通信方式,体现了人类无穷的创造力。使用智能手机,扫一扫就能购买到食物、衣服或者其它物品;你可以手机支付、和朋友聊天、远程和亲人视频;可以记录运动数据、拍摄视频和照片;还可以收听节目、音乐,当手电筒或者给吉他调音。

 

image.png


但是,同时APP可能将你的个人信息、医疗记录或者财务信息都泄露给黑客。这会导致不法分子盗用你的银行账户、暴漏隐私,足以让你的生活不得安宁。

 

这全部或者大部分归咎于大多数APP开发人员将时间和金钱用在附加的功能上,而不注重保护客户隐私。这些APP功能丰富,但安全性较差。

 

现在,数十亿人随身携带着虚拟数据炸弹,每人的口袋里有数十枚炸弹。APP分析和APP市场数据权威机构App Annie 指出平均来说,智能手机用户在手机上安装了60至90个APP,每月大约使用30个APP,每天启动9个APP。

 

image.png


那需要采取什么措施以改变当前的困境?或许用户需要安全性更高的APP。但现实是消费者还没有想要为安全性更高的手机支付更高费用的意向。将来也很难讲。

 

Positive Technologies公司一份研究报告指出:手机APP带来的是高风险的便利。这也不足为奇。

 

该公司研究了17款手机APP,发现43%的安卓应用程序和38%的iOS应用程序中发现了高风险漏洞。

 

报告还发现:

 

-           不安全的数据存储是最常见的问题,这在76%的移动应用程序中都有发现。不安全的数据存储会将密码、财务信息、个人数据和通信暴露在风险中。


-           通过恶意软件,89%的漏洞可以被黑客利用。这意味着黑客几乎不需要访问智能手机就能窃取数据。

   

-           大多数漏洞是由安全机制漏洞导致的,不仅是APP本身,而且是服务器上的漏洞。服务器由开发人员托管并与APP进行通信。研究人员在74%的iOS应用程序和57%的安卓应用程序中发现了这样的漏洞,其中42%的服务器端组件存在这种漏洞。


由于此类漏洞会在设计阶段扩大,因此修复它们需要对代码进行重大修改。

 

同时,用户的疏忽也是造成安全隐患的很大原因。报告称:“很多网络攻击都是由于用户的疏忽大意。升级特权或者下载软件的时候可能让恶意攻击有机可乘。”

 

为什么手机APP会如此不安全呢?

 

这个问题的答案与APP盛行的原因几乎一致。新思科技高级安全策略师Jonathan Knudsen指出,也并不只是手机APP存在各种漏洞。他说:“所有行业使用的各种类型的软件都有相似的挑战。迫于要在尽可能低的预算和最短的时间内开发出功能的压力,开发团队通常都专注在功能上。但不幸的是,安全往往会被忽略,直到灾难性事件发生后才不得不重视起来。”

 

为尽早获利而牺牲安全

 

即使新闻总有报道信息泄露的消息,因为利益诱惑,厂商还是会将其功能丰富的APP尽快推出,即使要牺牲产品的安全性也无所谓。他们优先考虑的是比竞争对手更快推出产品。

 

但讽刺的是,任何一位优秀的安全专家都会告诉你可靠的安全并不会拖慢开发速度,反而会提升开发速度。

 

部署安全性看起来耗时又昂贵。Jonathan Knudsen指出,创建安全的APP要求在软件开发生命周期(SDLC)的不同阶段执行不同的活动,例如威胁建模、静态分析和动态分析等。

 

为此,开发人员需要添加软件组件分析(SCA),以帮助开发人员查找和修复开源软件组件的任何漏洞或许可问题。

 

更容易地在手机APP里构建安全性

 

尽管用户在自己的移动设备上使用APP时需要对安全性承担一些责任,例如使用安全密码并且不应从不可靠的来源安装APP。Jonathan Knudsen对此表示赞同。他补充道:“但开发人员的责任更大。他们控制数据的存储方式和位置、存储的时间长短以及数据的安全性。开发人员控制身份验证如何进行,用户需要多久重新证明其身份等。”

 

开发人员有责任安全地开发其应用程序,时常考虑安全风险问题,并尽早将安全性构建在APP开发阶段。

关键字:手机APP 编辑:muyan 引用地址:http://news.eeworld.com.cn/xfdz/ic479151.html 本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:为取代Chrome?Vivaldi浏览器2.1定制化功能再升级
下一篇:最后一页

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

未来车主仅靠手机App就能掌控一辆车
Hyundai(现代)汽车集团目前针对电动车研发手机App性能调整技术,未来车主仅需通过手机即可调整车辆设定。如果电喷是汽车改装一场革命,那么未来电动车只要动动手指就能搞定。韩系车厂Hyundai(现代)与 KIA(起亚)目前正在开发手机App整合技术,未来电动车车主可通过手机调整车辆动力输出,并结合手机定位功能、车辆电池电力与目的地距离等信息为车主提供适合参数,不仅可满足操驾需求,还能降低“剩余里程焦虑”。 Hyundai、KIA正在研发性能调整技术,可针对电动马达最大扭力输出、加减速表现、刹车动能回收、最高速限、电门反应与空调电力控制等进行调整。目前Hyundai与KIA正在研发的这套系统,称为性能调整技术
发表于 2019-07-29
未来车主仅靠手机App就能掌控一辆车
关闭手机的位置权限 安卓App仍能获取位置
       近日,有国外研究团队发现,当我们在安卓手机中禁掉某APP的位置权限后,这些应用会悄悄将手机的唯一标识码和定位数据发送到自己的服务器,从而实现对用户的定位。  该团队还发现了很多其他漏洞,其中一些漏洞甚至可以将用户的网卡MAC地址、路由器接入点、SSID等重要信息发送到自己的服务器,严重侵犯用户的隐私。  根据相关人员的说法,他们已经向谷歌通报了这些漏洞;同时他们表示,这些问题将在即将发布的新系统Android Q 中得到修复。然而很多设备都无法更新到Android Q,对大部分设备来说还要继续面临这些问题。  研究人员认为谷歌应当推出修补程序,不应该置老用户于不顾
发表于 2019-07-15
人民日报评:手机App过度索取权限何时休
远离消费陷阱,规避消费误区,提升消费体验,黑猫投诉平台全天候服务,您的每一条投诉,每一次对消费的建议,都可能会改变这个世界。投诉请上黑猫:【点击投诉】被劫持的不只是浏览器主页——手机App过度索取权限何时休人民日报 本报记者 喻思南 吴月辉 刘诗瑶 谷业凯 冯 华 余建斌记者在调查浏览器主页劫持现象的过程中发现,手机App(应用程序)也是互联网技术霸凌的重灾区。“灾情”如何?记者进行了调查。■安装时要求权限过多、收集信息过度,App技术霸凌时有发生“我的手机App一打开网页,就弹出各种抽奖小广告”“看个视频,却要求获取我的通讯录权限,不打开权限就无法观看”“下载后安装App,需要获取我的地理位置信息,不同意就装不了”……手机App
发表于 2019-05-23
谷歌在手机App搜寻网页中增广告以提高收入
根据《CNBC》报导,Google预计在其手机应用程序的搜寻首页当中新增广告,以提高该公司的收入。另外,也会在搜寻结果当中新增高达8格的广告图片。       有媒体认为,Google会做出这项改变,是因为Google的营收成长率不稳,使得一些Alphabet投资人怀疑Google原有的广告商以及在线消费者是不是被亚马逊以及Instagram等服务给吸引走。       然而,Google高层表示,这些新特色是因为消费者行为而做的调整,与竞争无关。旅游及购物工程副总裁Oliver Heckmann表示,Google希望可以让用户更轻松地发现并购买新
发表于 2019-05-16
未来电动车是汽车还是电子产品?手机App就能掌控一辆车
▲Hyundai(现代)汽车集团目前针对电动车研发手机App性能调整技术,未来车主仅需通过手机即可调整车辆设定。如果电喷是汽车改装一场革命,那么未来电动车只要动动手指就能搞定。韩系车厂Hyundai(现代)与 KIA(起亚)目前正在开发手机App整合技术,未来电动车车主可通过手机调整车辆动力输出,并结合手机定位功能、车辆电池电力与目的地距离等信息为车主提供适合参数,不仅可满足操驾需求,还能降低“剩余里程焦虑”。▲Hyundai、KIA正在研发性能调整技术,可针对电动马达最大扭力输出、加减速表现、刹车动能回收、最高速限、电门反应与空调电力控制等进行调整。目前Hyundai与KIA正在研发的这套系统,称为性能调整技术
发表于 2019-04-30
未来电动车是汽车还是电子产品?手机App就能掌控一辆车
小广播
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2019 EEWORLD.com.cn, Inc. All rights reserved