8月1日起施行的《移动互联网应用程序信息服务管理规定》,《规定》明确要求,APP提供者和APP商店,不得利用APP危害国家安全、扰乱社会秩序、侵犯他人合法权益。从维护用户合法权益的角度看,这个《规定》是一道安全门。从APP企业来说,"如何强化信息安全管理、保障用户权益?",成为企业应该马上重视的问题。
APP的安全隐患来源有很多:使用不安全的协议,SDK有缺陷、程序员的逻辑缺陷、代码本身漏洞问题等等。2015年,四千多款iOS应用感染Xcodeghost病毒事件,波及面非常广、影响极为恶劣。同时期,因为游戏开发工具Unity和cocos2dx的安卓版本也被类似病毒感染,安卓应用也纷纷被入侵、感染。近几年,手机APP频频爆出漏洞、被黑,泄露大量用户信息。以去年即时通讯工具WhatsApp的漏洞为例,通过这一漏洞,黑客可以散布危险恶意程序来感染用户的电脑。由于,whatsApp用户数量巨大,全球2亿用户可能都遭受到了该漏洞的威胁。
手机APP背后存在哪些安全隐患?
针对这一问题,记者特别致电知道创宇渗透测试负责人了解情况。对方表示:"目前主流的APP系统主要是iOS和安卓。虽然苹果一直声称这套操作系统非常严密、非常安全,但是APP漏洞方面还是未能幸免。目前,iOS平台上的大部分移动银行APP,都没有实施基本的安全保护,漏洞随时可能成为隐患。苹果APP STORE本身就存在安全漏洞隐患,2015年就发现苹果的发票系统存在重大安全漏洞,可以通过漏洞发出指令操控发票金额等,后面发现,这个严重的注入缺陷是应用程序端输入验证的web漏洞。相较于iOS,Android原生态下的安全漏洞现状更是不容乐观,近97%的APP都存在漏洞问题,每个APP上的漏洞竟高达40个。"
"根据知道创宇大数据积累显示,教育、金融、游戏、购物、健康类的APP存在的漏洞数量最多,其中高风险漏洞占比也最大。常见漏洞为:SQL注入漏洞、Webview、DDoS、文件模式配置错误、不校验证书等等。企业完全可以通过知道创宇移动APP安全渗透测试来规避这些风险。"
如何通过渗透测试强化信息安全管理?
渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最脆弱的环节。渗透测试能够最直观的让管理人员知道自己网络所面临的问题,是一种非常专业的安全服务。知道创宇APP渗透测试适用于Android、iOS、手机、平板电脑等运行的移动APP程序,通过使用静态、动态、服务端测试等各类技术手段对移动APP程序进行漏洞挖掘。知道创宇App安全渗透测试领先业内APP安全测试标准,已为近百个APP提供安全渗透测试服务。通过安全测试,已发现存在的计费、业务逻辑、客户信息泄漏等漏洞,避免用户的现金和信誉损失。
作为一项高端安全服务,知道创宇渗透测试服务利用一切技术、社交和大数据黑客手段,进行最高强度安全测试。知道创宇拥有业内最专业的业务逻辑漏洞挖掘团队,真正避免商业黑客的威胁。目前很多中小安全公司打着"渗透测试"旗号做服务,但其实并没有专业的执行团队和能力。如需渗透测试的企业一定要擦亮眼睛,在鱼龙混杂之中找到正确的团队做正确的事情。