在談?wù)?strong>SSL/TLS證書時(shí)，人們通常是考慮到WordPress或是其他桌面網(wǎng)站的安全問題。然而，移動(dòng)應(yīng)用程序安全性也需要得到同等重視。

重視移動(dòng)應(yīng)用程序安全原因

根據(jù)互聯(lián)網(wǎng)監(jiān)測(cè)公司StatCounter進(jìn)行的一項(xiàng)研究顯示，移動(dòng)互聯(lián)網(wǎng)和應(yīng)用程序的使用已成功超過臺(tái)式電腦的使用。手機(jī)占互聯(lián)網(wǎng)使用量的51.3%，臺(tái)式機(jī)占48.7%，而且這個(gè)數(shù)字還在繼續(xù)增加。GSMA 情報(bào)機(jī)構(gòu)最新研究發(fā)現(xiàn)，全球有50億人在使用手機(jī)，到2020年，這個(gè)數(shù)字上升至61億。此外，網(wǎng)民使用手機(jī)時(shí)，90%以上時(shí)間都是花在某些應(yīng)用程序上。

然而，最近的研究指出，近一半的應(yīng)用程序開發(fā)人員沒有采取任何措施來保護(hù)其應(yīng)用程序。此外，60% 的組織承認(rèn)他們過去曾發(fā)生過數(shù)據(jù)泄露事件。這里，我們來看看與移動(dòng)應(yīng)用安全相關(guān)的常見的攻擊威脅有哪些。

? ? 01 移動(dòng)應(yīng)用安全威脅? ??

01

惡意軟件

這些應(yīng)用程序可以對(duì)您的手機(jī)進(jìn)行惡意更改。他們可以篡改您的數(shù)據(jù)，讓黑客輕松訪問您的手機(jī)，或進(jìn)行其他險(xiǎn)惡的活動(dòng)。

02

間諜軟件

這些應(yīng)用程序會(huì)秘密監(jiān)視您的手機(jī)并收集個(gè)人隱私信息，例如短信、通話記錄、互聯(lián)網(wǎng)使用數(shù)據(jù)、位置等。黑客隨后就可以利用這些信息進(jìn)行身份盜用或金融欺詐。

03

隱私威脅

獲取您的位置、手機(jī)使用歷史記錄等信息并將其出售給感興趣的第三方的應(yīng)用程序。

04

易受攻擊的應(yīng)用程序

這類應(yīng)用程序本身并不是惡意程序，但它們?nèi)菀妆黄渌诳筒倏v以獲取對(duì)您手機(jī)的訪問權(quán)限。

移動(dòng)應(yīng)用程序很容易獲取到極其個(gè)人和敏感的信息，例如銀行賬戶詳細(xì)信息、個(gè)人密碼等，所以開發(fā)人員需要確保這些程序受到SSL證書的安全保護(hù)，防止數(shù)據(jù)或信息被泄露。

? ? 02 蘋果ATS強(qiáng)制要求? ??

其次，早在2017年1月1日 App Store中的所有應(yīng)用都必須啟用 App Transport Security安全功能。App Transport Security（ATS）是蘋果在iOS 9中引入的一項(xiàng)隱私保護(hù)功能，屏蔽明文HTTP資源加載，連接必須經(jīng)過更安全的HTTPS。

? ? 03 微信小程序上線要求? ??

微信小程序在上線的過程中，就必須要求服務(wù)端啟用https協(xié)議，否則無法通過審核。小程序開發(fā)者事先需要設(shè)置一個(gè)通訊域名，通過https進(jìn)行網(wǎng)絡(luò)通信，所以不具備條件的域名和協(xié)議是無法完成請(qǐng)求的。可以理解為，請(qǐng)求request地址必須是合法域名，這就要求用到SSL證書認(rèn)證。

移動(dòng)應(yīng)用程序安全防范措施

基于上述情況，不論應(yīng)用程序開發(fā)人員還是終端用戶都需要做好安全措施。

01

To 開發(fā)者

為移動(dòng)應(yīng)用程序安裝SSL證書，啟用HTTPS協(xié)議，向用戶保證移動(dòng)程序安全可用。這樣，不論用戶是通過手機(jī)、平板電腦或是筆記本電腦訪問，都能看到站點(diǎn)安全掛鎖和企業(yè)信息，提高移動(dòng)程序的可靠性，也確保用戶數(shù)據(jù)在使用應(yīng)用程序時(shí)不會(huì)受到損害。

使用代碼簽名證書對(duì)應(yīng)用程序標(biāo)識(shí)開發(fā)者的真實(shí)身份，確保移動(dòng)APP來源可信企業(yè)，同時(shí)利用數(shù)字簽名和私鑰公鑰技術(shù)防止代碼被惡意篡改，也能保護(hù)應(yīng)用開發(fā)者的信譽(yù)。

03

To 終端用戶

建議終端用戶只從可靠的開發(fā)商那里下載應(yīng)用程序，僅使用值得信賴且安全的移動(dòng)應(yīng)用程序。

在手機(jī)中安裝移動(dòng)安全應(yīng)用程序，以免遭受各種威脅。

如果用戶使用銀行應(yīng)用程序，請(qǐng)?jiān)诩せ钐摂M專用網(wǎng)絡(luò)后執(zhí)行此操作，通過隱藏IP地址，可以更安全地使用這些應(yīng)用程序。

所以

使用SSL證書、代碼簽名證書和其他網(wǎng)絡(luò)安全工具或服務(wù)是保障移動(dòng)應(yīng)用程序安全，獲得終端用戶信賴的必要條件。