由於Android系統的開源特性,造成了各大手機廠商百花齊放的局面,但市面上的Android系統安全性卻參差不齊。安卓系統的開源性讓安卓本身充滿了安全隱患,比如Android平臺的Android MasterKey漏洞、AndroidWebView安全漏洞等。雖然Android已經在對發現的問題進行不定期的更新,但是之前的漏洞已經對許多的安卓用戶造成了傷害。
更爲嚴重的是,當Android系統爆出系統漏洞,如果各大手機產商安全意識薄弱,將導致補丁推送速度更加緩慢。因此,國內手機廠商的安全意識有待加強,要真正樹立用戶至上這一理念。另外,大多數APP安全漏洞都是由於開發者的安全意識薄弱而導致的。比如App二次打包,這些原本都是可以避免的,但現在許多App開發工程師經驗不足,對安全問題了解不多,在書寫代碼的時候容易出現邏輯漏洞。此外,由於Android系統補丁推送的滯後性,相關業務需要預備一套應對系統漏洞的應對方案。
以二次打包爲例,相關業務可以對自己的安裝包進行校驗,防止被黑客惡意利用,也可以對 App工程師進行定期的安全培訓以便增強他們的安全意識。很顯然,系統端漏洞無法避免,但是人們可以成立相應的應急工作小組,一旦發現系統端漏洞,就應及時修補,更新系統,發佈相關漏洞詳情廣而告之,讓用戶避免受到影響。對於App二次打包等問題也應加強管理,對自身的安全進行加固,對App進行加密,讓員工提高安全意識,梳理安全理念。
對於App自身安全問題,企業可以成立對應的滲透測試小組定期進行安全滲透測試,防範於未然。如果因條件問題組織不了滲透測試小組,也可以託付給專業的幾維安全安全公司進行滲透測試。通過分析典型漏洞可以發現,國內整個行業處理安全問題存在諸多不足,例如安全情報滯後、安全警告未得到應有的重視、安全行業缺乏良性的溝通環境等。因此,相關機構理應建立一個公共平臺,建立業界同行的聯繫,共同探討、共同提高,打造一個良性的安全生態環境,提升各行業的安全性,給用戶帶來更好的安全保障。
Android App的安全性、億萬用戶的手機安全不是靠一兩個企業就能完成的,只有政府的支撐及企業內外一起努力方能保證我國移動互聯網的健康發展。
最後,幾維安全移動應用加固系統是一款針對APK文件的自動化安全加固產品,可以提高應用程序的代碼安全性、數據安全性和自主防禦能力,並且符合《GBT25070-2019信息安全技術網絡安全等級保護安全設計技術要求》【簡稱:等保2.0】中的移動互聯安全計算環境設計技術要求。可以幫助金融、手遊、電商、社交等行業解決移動應用的諸多安全問題,包括核心代碼被反編譯、應用被仿冒、API接口暴露、密鑰被竊取、請求協議被僞造,APK包被植入惡意代碼等,提供全面的標準化安全保護功能。用戶只需要提供APK包即可快速集成防靜態工具分析、Dex文件保護、So文件保護、內存保護、反調試、防二次打包、本地數據加密、資源文件加密等多項安全功能。