在談?wù)?a href="http://www.camerontech.cn/wildcard-ssl">SSL/TLS證書(shū)時(shí)，人們通常是考慮到WordPress或是其他桌面網(wǎng)站的安全問(wèn)題。然而，移動(dòng)應(yīng)用程序安全性也需要得到同等重視。

為什么需要重視移動(dòng)應(yīng)用程序安全？

根據(jù)互聯(lián)網(wǎng)監(jiān)測(cè)公司StatCounter進(jìn)行的一項(xiàng)研究顯示，移動(dòng)互聯(lián)網(wǎng)和應(yīng)用程序的使用已成功超過(guò)臺(tái)式電腦的使用。手機(jī)占互聯(lián)網(wǎng)使用量的51.3%，臺(tái)式機(jī)占48.7%，而且這個(gè)數(shù)字還在繼續(xù)增加。GSMA 情報(bào)機(jī)構(gòu)最新研究發(fā)現(xiàn)，全球有50億人在使用手機(jī)，到2020年，這個(gè)數(shù)字上升至61億。此外，網(wǎng)民使用手機(jī)時(shí)，90%以上時(shí)間都是花在某些應(yīng)用程序上。

然而，最近的研究指出，近一半的應(yīng)用程序開(kāi)發(fā)人員沒(méi)有采取任何措施來(lái)保護(hù)其應(yīng)用程序。此外，60% 的組織承認(rèn)他們過(guò)去曾發(fā)生過(guò)數(shù)據(jù)泄露事件。這里，我們來(lái)看看與移動(dòng)應(yīng)用安全相關(guān)的常見(jiàn)的攻擊威脅有哪些。

移動(dòng)應(yīng)用安全威脅

惡意軟件：這些應(yīng)用程序可以對(duì)您的手機(jī)進(jìn)行惡意更改。他們可以篡改您的數(shù)據(jù)，讓黑客輕松訪問(wèn)您的手機(jī)，或進(jìn)行其他險(xiǎn)惡的活動(dòng)。

間諜軟件：這些應(yīng)用程序會(huì)秘密監(jiān)視您的手機(jī)并收集個(gè)人隱私信息，例如短信、通話記錄、互聯(lián)網(wǎng)使用數(shù)據(jù)、位置等。黑客隨后就可以利用這些信息進(jìn)行身份盜用或金融欺詐。

隱私威脅：獲取您的位置、手機(jī)使用歷史記錄等信息并將其出售給感興趣的第三方的應(yīng)用程序。

易受攻擊的應(yīng)用程序：這類(lèi)應(yīng)用程序本身并不是惡意程序，但它們?nèi)菀妆黄渌诳筒倏v以獲取對(duì)您手機(jī)的訪問(wèn)權(quán)限。

移動(dòng)應(yīng)用程序很容易獲取到極其個(gè)人和敏感的信息，例如銀行賬戶詳細(xì)信息、個(gè)人密碼等，所以開(kāi)發(fā)人員需要確保這些程序受到SSL證書(shū)的安全保護(hù)，防止數(shù)據(jù)或信息被泄露。

蘋(píng)果ATS強(qiáng)制要求

其次，早在2017年1月1日 App Store中的所有應(yīng)用都必須啟用 App Transport Security安全功能。App Transport Security（ATS）是蘋(píng)果在iOS 9中引入的一項(xiàng)隱私保護(hù)功能，屏蔽明文HTTP資源加載，連接必須經(jīng)過(guò)更安全的HTTPS。

微信小程序上線要求

微信小程序在上線的過(guò)程中，就必須要求服務(wù)端啟用https協(xié)議，否則無(wú)法通過(guò)審核。小程序開(kāi)發(fā)者事先需要設(shè)置一個(gè)通訊域名，通過(guò)https進(jìn)行網(wǎng)絡(luò)通信，所以不具備條件的域名和協(xié)議是無(wú)法完成請(qǐng)求的?？梢岳斫鉃?，請(qǐng)求request地址必須是合法域名，這就要求用到SSL證書(shū)認(rèn)證。

移動(dòng)應(yīng)用程序安全防范措施

基于上述情況，不論應(yīng)用程序開(kāi)發(fā)人員還是終端用戶都需要做好安全措施。

應(yīng)用程序開(kāi)發(fā)者的安全措施

• 為您的應(yīng)用程序安裝SSL證書(shū)，啟用HTTPS協(xié)議，向用戶保證移動(dòng)程序安全可用。這樣，不論用戶是通過(guò)手機(jī)、平板電腦或是筆記本電腦訪問(wèn)，都能看到站點(diǎn)安全掛鎖和企業(yè)信息，提高移動(dòng)程序的可靠性，也確保用戶數(shù)據(jù)在使用應(yīng)用程序時(shí)不會(huì)受到損害。
• 除此之外，您還應(yīng)考慮使用代碼簽名證書(shū)對(duì)應(yīng)用程序標(biāo)識(shí)開(kāi)發(fā)者的真實(shí)身份，確保移動(dòng)APP來(lái)源可信企業(yè)，同時(shí)利用數(shù)字簽名和私鑰公鑰技術(shù)防止代碼被惡意篡改，也能保護(hù)應(yīng)用開(kāi)發(fā)者的信譽(yù)。

使用移動(dòng)APP的用戶安全防范措施

• 建議終端用戶只從可靠的開(kāi)發(fā)商那里下載應(yīng)用程序，僅使用值得信賴(lài)且安全的移動(dòng)應(yīng)用程序。
• 在手機(jī)中安裝移動(dòng)安全應(yīng)用程序，以免遭受各種威脅。
• 如果用戶使用銀行應(yīng)用程序，請(qǐng)?jiān)诩せ钐摂M專(zhuān)用網(wǎng)絡(luò)后執(zhí)行此操作，通過(guò)隱藏IP地址，可以更安全地使用這些應(yīng)用程序。

未來(lái)，移動(dòng)設(shè)備用戶數(shù)量將只增不減，應(yīng)用程序的使用率將達(dá)到歷史最高。這意味著程序開(kāi)發(fā)者將承擔(dān)起更大的責(zé)任。與此同時(shí)，終端用戶的網(wǎng)絡(luò)安全意識(shí)也不斷增強(qiáng)，他們將開(kāi)始選擇保護(hù)他們數(shù)據(jù)和隱私的安全應(yīng)用程序。

所以，使用SSL證書(shū)、代碼簽名證書(shū)和其他網(wǎng)絡(luò)安全工具或服務(wù)是保障移動(dòng)應(yīng)用程序安全，獲得終端用戶信賴(lài)的必要條件。