轉載本文需注明出處：EAWorld，違者必究。

眾所周知，移動信息安全一直以來都是大家關注的焦點，工業(yè)和信息話部近年來也在大力整頓移動App對于個人信息的違規(guī)采集。2020年新冠肺炎的爆發(fā)，很多公司都采用遠程辦公，移動信息化建設的需求更加迫切。

建設App不是簡單的把PC端的業(yè)務遷移到手機端，我們要對移動信息化安全有一個清晰的認知。常見的移動安全問題有哪些，建設移動App時網(wǎng)關如何設計，移動App終端如何建設保障數(shù)據(jù)安全等等，本文將會為大家一一解答。

目錄：

1．常見的移動安全問題介紹

2．移動安全設計之移動網(wǎng)關

3．移動安全設計之移動終端

一、常見的移動安全問題介紹

1．1移動安全問題之中間人攻擊

關于中間人攻擊，我們簡單說下中間人攻擊的原理：

比如你的App想訪問服務A，正常情況下你是和A直接通信，訪問路徑為App－－＞A。有一天你不小心連接了一個不安全的WiFi，WiFi里有一個竊取信息服務C，這個時候你訪問服務A，訪問的路徑就變成了App－－＞C－－＞A，你的信息在中間人C那里是透明的，而且還可以篡改你的請求信息。

在這里也提醒一下大家，出門在外，盡量不要去連接一些不安全的WiFi，你的個人重要信息可能就在不經(jīng)意間被不法分子竊取。

1．2移動安全問題之App攻擊

移動終端App的攻擊，主要分為一下三個方面：

手機存儲信息竊取

Android 手機對于信息存儲安全的處理沒有iOS的嚴格，很多App在一啟動時就獲取了非常多權限，比如相冊、SD卡讀寫、手機基本信息（手機號）等等。如果你下載的三方App不是從正規(guī)的渠道（廠商的應用商店）下載，如果你下載了被重新打包注入了竊取信息的木馬，一旦你使用該App并且授予了權限，你的手機信息（照片、通訊錄等等）將會被獲取傳入到第三方服務。

手機日志敏感信息泄露

開發(fā)人員在開發(fā)期都會有打印日志的習慣，一個不小心就會有敏感信息打印到控制臺，這樣的app上線后就會有很大的安全隱患。不知道大家有沒有在火車站充電樁給手機充過電，這里的充電口如果被不法分子利用，插入充電的時候，你的手機控制臺的日志信息就會被完全收集。

界面劫持

界面劫持通俗點講就是做了一個和目標App完全一樣的頁面，通過技術手段讓目標app閃退，啟動木馬頁面，一旦用戶輸入賬號密碼，你的信息就會被竊取。

1．3移動安全問題之開發(fā)工具攻擊

大家還記得2015年的Xcode Ghost病毒嗎？該病毒波及眾多產(chǎn)品，其中不乏大公司的知名應用，也有不少金融類應用，還有諸多民生類應用。究其根源是開發(fā)者從非官方渠道下載了Xcode，導致打包后的應用里攜帶了三方代碼，App運行會向三方服務發(fā)送用戶數(shù)據(jù)。所以作為開發(fā)人員或決策者，一定要通過統(tǒng)一的、安全的、從正規(guī)渠道下載的工具的機器去打包App。