轉(zhuǎn)載本文需注明出處：EAWorld，違者必究。

眾所周知，移動信息安全一直以來都是大家關(guān)注的焦點(diǎn)，工業(yè)和信息話部近年來也在大力整頓移動App對于個(gè)人信息的違規(guī)采集。2020年新冠肺炎的爆發(fā)，很多公司都采用遠(yuǎn)程辦公，移動信息化建設(shè)的需求更加迫切。

建設(shè)App不是簡單的把PC端的業(yè)務(wù)遷移到手機(jī)端，我們要對移動信息化安全有一個(gè)清晰的認(rèn)知。常見的移動安全問題有哪些，建設(shè)移動App時(shí)網(wǎng)關(guān)如何設(shè)計(jì)，移動App終端如何建設(shè)保障數(shù)據(jù)安全等等，本文將會為大家一一解答。

目錄：

1．常見的移動安全問題介紹

2．移動安全設(shè)計(jì)之移動網(wǎng)關(guān)

3．移動安全設(shè)計(jì)之移動終端

一、常見的移動安全問題介紹

1．1移動安全問題之中間人攻擊

關(guān)于中間人攻擊，我們簡單說下中間人攻擊的原理：

比如你的App想訪問服務(wù)A，正常情況下你是和A直接通信，訪問路徑為App－－＞A。有一天你不小心連接了一個(gè)不安全的WiFi，WiFi里有一個(gè)竊取信息服務(wù)C，這個(gè)時(shí)候你訪問服務(wù)A，訪問的路徑就變成了App－－＞C－－＞A，你的信息在中間人C那里是透明的，而且還可以篡改你的請求信息。

在這里也提醒一下大家，出門在外，盡量不要去連接一些不安全的WiFi，你的個(gè)人重要信息可能就在不經(jīng)意間被不法分子竊取。

1．2移動安全問題之App攻擊

移動終端App的攻擊，主要分為一下三個(gè)方面：

手機(jī)存儲信息竊取

Android 手機(jī)對于信息存儲安全的處理沒有iOS的嚴(yán)格，很多App在一啟動時(shí)就獲取了非常多權(quán)限，比如相冊、SD卡讀寫、手機(jī)基本信息（手機(jī)號）等等。如果你下載的三方App不是從正規(guī)的渠道（廠商的應(yīng)用商店）下載，如果你下載了被重新打包注入了竊取信息的木馬，一旦你使用該App并且授予了權(quán)限，你的手機(jī)信息（照片、通訊錄等等）將會被獲取傳入到第三方服務(wù)。

手機(jī)日志敏感信息泄露

開發(fā)人員在開發(fā)期都會有打印日志的習(xí)慣，一個(gè)不小心就會有敏感信息打印到控制臺，這樣的app上線后就會有很大的安全隱患。不知道大家有沒有在火車站充電樁給手機(jī)充過電，這里的充電口如果被不法分子利用，插入充電的時(shí)候，你的手機(jī)控制臺的日志信息就會被完全收集。

界面劫持

界面劫持通俗點(diǎn)講就是做了一個(gè)和目標(biāo)App完全一樣的頁面，通過技術(shù)手段讓目標(biāo)app閃退，啟動木馬頁面，一旦用戶輸入賬號密碼，你的信息就會被竊取。

1．3移動安全問題之開發(fā)工具攻擊

大家還記得2015年的Xcode Ghost病毒嗎？該病毒波及眾多產(chǎn)品，其中不乏大公司的知名應(yīng)用，也有不少金融類應(yīng)用，還有諸多民生類應(yīng)用。究其根源是開發(fā)者從非官方渠道下載了Xcode，導(dǎo)致打包后的應(yīng)用里攜帶了三方代碼，App運(yùn)行會向三方服務(wù)發(fā)送用戶數(shù)據(jù)。所以作為開發(fā)人員或決策者，一定要通過統(tǒng)一的、安全的、從正規(guī)渠道下載的工具的機(jī)器去打包App。