在移动应用程序开发中,服务器端存储应用程序数据仍然是重中之重。特别是,许多开发人员已开始使用后端 API,这些 API 可使他们的应用实时查询服务器中的信息,而不是响应存储在文件中的静态数据。
但是,由于发现许多云存储服务使用不安全的配置,因此成千上万个移动应用程序上的数据可能会受到威胁。
移动应用程序开发安全问题是重中之重
当保护这些服务的配置的任务落在应用开发人员而不是提供商(例如 Amazon AWS、Google 的 Firebase Storage 或 Microsoft 的 Azure)上时,就会面临一个问题。当开发人员出于保护 API 安全性的目的而使用这些存储服务时,他们将大部分精力投入到构建应用程序中,而不是保护存储的信息。这种疏忽可能威胁到许多应用程序开发人员以及企业和用户。
移动安全公司 Zimperium 于 2021 年发现,使用云存储的移动应用中有 14% 以上因配置不安全而面临风险。这项研究表明,在全球和所有行业中,各种应用程序都容易受到公开可识别信息(PII),欺诈和不受监管的内部IP /配置共享的威胁。
由于这些移动应用程序的安全性倾向于根据云提供商的默认设置进行回复,因此开发人员甚至可能没有意识到可能会发生数据泄露。实际上,即使云提供商为开发人员提供了安全指南,开发人员也可能不会遵守它们。
暴露于 PII 后,各种形式的个人医疗数据、游戏应用程序、社交媒体应用程序和健身应用程序都将面临风险。此类暴露使攻击者可以访问移动电子商务平台上的用户数据、交通应用以及移动钱包的付款信息。最后,整个 IP 和系统面临着主流音乐应用、主流新闻服务、财富 500 强软件公司、主流机场和主流硬件开发商的恶意数据篡改的威胁。
移动应用程序安全性的挑战主要是开发者自己
总体而言,受不安全云服务器配置影响最大的是商业,风险为 17.6% 。为了减轻此类风险,开发人员可以首先确保外部干扰无法访问他们正在使用的云存储数据库。此外,开发人员可以确定安全软件开发生命周期的优先级,以防止执行未过滤的代码。
归根结底,移动应用程序安全性的挑战仍然主要在于应用程序开发人员本身。尽管某些组织可能会避免进行更广泛的更改,例如打补丁常开系统或更换易受攻击的硬件,但仅应用程序创建者就可以帮助防止许多威胁。一旦更多的开发人员承担起这一责任,保护移动应用程序就可以成为一种规范,而不是事后的想法。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。