由于Android系统的开源特性,造成了各大手机厂商百花齐放的局面,但市面上的Android系统安全性却参差不齐。安卓系统的开源性让安卓本身充满了安全隐患,比如Android平台的Android MasterKey漏洞、AndroidWebView安全漏洞等。虽然Android已经在对发现的问题进行不定期的更新,但是之前的漏洞已经对许多的安卓用户造成了伤害。
更为严重的是,当Android系统爆出系统漏洞,如果各大手机产商安全意识薄弱,将导致补丁推送速度更加缓慢。因此,国内手机厂商的安全意识有待加强,要真正树立用户至上这一理念。另外,大多数App安全漏洞都是由于开发者的安全意识薄弱而导致的。比如App二次打包,这些原本都是可以避免的,但现在许多App开发工程师经验不足,对安全问题了解不多,在书写代码的时候容易出现逻辑漏洞。此外,由于Android系统补丁推送的滞后性,相关业务需要预备一套应对系统漏洞的应对方案。
以二次打包为例,相关业务可以对自己的安装包进行校验,防止被黑客恶意利用,也可以对 App工程师进行定期的安全培训以便增强他们的安全意识。很显然,系统端漏洞无法避免,但是人们可以成立相应的应急工作小组,一旦发现系统端漏洞,就应及时修补,更新系统,发布相关漏洞详情广而告之,让用户避免受到影响。对于App二次打包等问题也应加强管理,对自身的安全进行加固,对App进行加密,让员工提高安全意识,梳理安全理念。
对于App自身安全问题,企业可以成立对应的渗透测试小组定期进行安全渗透测试,防范于未然。如果因条件问题组织不了渗透测试小组,也可以托付给专业的几维安全安全公司进行渗透测试。通过分析典型漏洞可以发现,国内整个行业处理安全问题存在诸多不足,例如安全情报滞后、安全警告未得到应有的重视、安全行业缺乏良性的沟通环境等。因此,相关机构理应建立一个公共平台,建立业界同行的联系,共同探讨、共同提高,打造一个良性的安全生态环境,提升各行业的安全性,给用户带来更好的安全保障。
Android App的安全性、亿万用户的手机安全不是靠一两个企业就能完成的,只有政府的支撑及企业内外一起努力方能保证我国移动互联网的健康发展。
最后,几维安全移动应用加固系统是一款针对APK文件的自动化安全加固产品,可以提高应用程序的代码安全性、数据安全性和自主防御能力,并且符合《GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求》【简称:等保2.0】中的移动互联安全计算环境设计技术要求。可以帮助金融、手游、电商、社交等行业解决移动应用的诸多安全问题,包括核心代码被反编译、应用被仿冒、API接口暴露、密钥被窃取、请求协议被伪造,APK包被植入恶意代码等,提供全面的标准化安全保护功能。用户只需要提供APK包即可快速集成防静态工具分析、Dex文件保护、So文件保护、内存保护、反调试、防二次打包、本地数据加密、资源文件加密等多项安全功能。