隨著移動互聯(lián)網(wǎng)的火熱發(fā)展，以及IT消費化給企業(yè)用戶帶來的巨大變革，使得移動應用市場也越發(fā)火熱起來。從最小的微型企業(yè)到最大的大型企業(yè)，幾乎所有的企業(yè)都想方設法要在移動應用領(lǐng)域分一杯羹，業(yè)界正在見證著一場聲勢浩蕩的移動應用開發(fā)熱潮。然而，在各種企業(yè)盲目地沖進這塊處女地時，移動開發(fā)人員感到有些擔心：由于移動開發(fā)環(huán)境仍然處于起步階段，并沒有真正可行的標準來引導開發(fā)工作，可以說，這對于所有參與移動開發(fā)領(lǐng)域的各方來說都是一次冒險。

[[57689]]

最讓安全專家擔心的是快速的移動開發(fā)周期以及缺乏移動平臺相關(guān)的經(jīng)驗導致開發(fā)者在面對移動應用程序時，將過去五年行業(yè)努力推行的各種安全開發(fā)原則都拋之腦后。

“快速的開發(fā)周期讓編程可以在很短的時間內(nèi)實現(xiàn)，從而導致安全性被忽略，安全成了一件很好但很難做到的事情，這種情況發(fā)生在大公司(看看Googlewallet：GoogleWallet爆漏洞支付帳號易被盜用)，也發(fā)生在剛剛起步的小公司，”應用程序安全公司Cenzic工程總監(jiān)TylerRorabaugh表示，“當Techcrunch宣布最熱門的新公司時，幾乎所有這些公司都缺乏安全編碼的做法，很少關(guān)注安全問題，除非真得出現(xiàn)了問題，大多數(shù)時間里他們甚至沒有意識到這些問題。”

據(jù)Rorabaugh表示，大型移動平臺供應商(例如蘋果和Google)現(xiàn)在才剛開始思考安全移動編碼。

困難之處在于即使對于意識到風險并想要確保其移動應用程序安全性的大型公司而言，目前并不存在可行的開發(fā)標準，也沒有測試編碼是否存在漏洞的可用工具。

“我們的一些客戶正在開發(fā)移動應用程序，并準備將程序介紹給他們的客戶，而我們會對這些應用程序進行審查以確保它們的安全性，”安全咨詢公司Protiviti公司執(zhí)行董事ScottLaliberte表示，“這需要我們來重新審視我們的應用程序測試辦法，因為測試移動應用程序要比測試一般應用程序要困難。確定你測試移動應用程序所面臨的主要風險和所需要的技術(shù)可能是一個挑戰(zhàn)，而缺乏標準則是另一個巨大挑戰(zhàn)。對于移動領(lǐng)域而言，并不存在OWASP或者任何真正的編碼標準。”因此，充斥在市場上的所有移動應用程序都可能存在重大漏洞，可能讓企業(yè)和客戶處于風險之中。例如，Rorabaugh表示，移動應用程序開發(fā)人員并沒有測試移動應用程序在云端使用的移動服務，并且這些移動應用程序中存在嚴重的加密漏洞，例如讓未加密的密碼保存在數(shù)據(jù)緩存文件中。事實上，去年八月，數(shù)字取證與安全公司viaForensic在報告中稱，在Android和iOS設備上運行的消費級應用程序中有76%的程序?qū)⒚艽a以純文本格式保存。

“本地應用程序?qū)⑻鄶?shù)據(jù)以未加密格式存儲在手機上，”他解釋說，即使這些密碼已經(jīng)被加密，現(xiàn)在攻擊者已經(jīng)擁有足夠的其他信息(例如社會安全號碼和信用卡信息)來套出你的密碼。

GoogleWallet就是這樣的例子，同樣也是在viaForensic公司的報告中，報告指出GoogleWallet將所有除信用卡信息外的敏感信息以純文本格式本地存儲在設備中。

最近也有一條這方面的新聞，某web分類供應商zvelo公司的一名工程部員工輕松地破解了裝在智能手機上的GoogleWallet的PIN碼。

隨著企業(yè)推出越來越多涵蓋敏感信息和安裝支付系統(tǒng)(例如GoogleWallet)的應用程序，他們需要對潛在風險進行仔細考慮，Rorabaugh表示。

“不要因為你需要盡快推出一個應用程序，就跳過了安全部分，應該仔細檢查最容易出現(xiàn)風險的地方，”他說道，他還鼓勵企業(yè)使用動態(tài)和靜態(tài)測試技術(shù)通過內(nèi)部和外部測試團隊，同時測試移動應用程序的客戶端和服務部分。