移动互联网应用市场的高度繁荣宣告着“互联网+”时代的到来,传统行业商家、企业都开始转型互联网;汽车、服装、零食也开始提供买卖一体化的APP服务……越来越多传统行业开始向互联网紧密结合。
“互联网+”让传统行业萌发第二春,带来新一轮机遇和挑战。传统行业与互联网之间的紧密联系,当属机遇和挑战并存的手游、移动金融领域最为火热。2014年手游市场被行业人士称为“IP元年”,金融类的众筹、p2p、第三方支付等也纷纷呈现强劲的发展姿态。
“互联网+”背后,移动应用安全状况频发
伴随着“互联网+”的兴起,传统行业越发展现出勃勃生机,尤其是与移动应用发展的结合更是被大众寄予厚望,一个充满全新想象的时代正在走来。然而以移动应用安全风险为代表的移动端隐患却频频出现,不良的开发习惯和数目庞大数据泄露将会的移动终端产生了数量超乎想象的漏洞,而这些漏洞越来越多地被黑客利用。病毒感染与信息窃取在移动端随时发生,但大多数用户却全然不知。
“以前最常见的恶意软件是资费消耗型的,它会让你主动发送一些短信,从而导致你资费的消耗,对于恶意软件发送人来说就可以因此牟利。但是现在这种恶意软件出现的比例在下降,更加常见的是信息窃取类的软件,它会窃取你个人设施上面的电子邮件或者其他一些信息。”作为全球最知名的道德黑客之一,趋势科技安全研究副总裁Rik Ferguson这样点评当下恶意软件的变化形式。
“还有一种比较常见的是广告类的软件,它可以篡改你的桌面或者是一些其他的默认设置,甚至在你的桌面上加入一些按钮,用户点击后会出现一个广告的页面从而产生收入。”Rik补充道。
移动应用的安全问题已经是“互联网+”发展浪潮中绕不开的“切肤之痛”国内顶尖的移动信息安全服务商-爱加密分析称,移动应用的安全风险主要集中在恶意软件的植入传播问题上。“Android和IOS病毒感染用户全年呈现持续增长的态势,14年染毒用户达到1.9亿人次,是2013年的1.95倍,是2012年的8.13倍。Android染毒手机在12月达到1990万,为年度染毒用户最多的一个月。”
病毒的肆虐传播背后,则是安全开发机制的不完善,2014年有权威机构在对16款银行客户端的登录机制安全性测评中,暴露了两类比较严重的安全隐患:一是加密机制不完整或过于简单,很容易被攻击者劫持或破解;另一类是在通信过程中不对服务端身份进行校验,导致登录过程很容易被“中间人攻击”所劫持。
大热背后,移动应用安全投入严重不足
安全问题的不断出现的背后,则暴露了整个行业对移动安全重视不足的现状。Ponemon研究所最新调查提供了一些量化的数字来说明很多信息安全专业人员已经意识到的趋势,即企业对移动应用安全没有投入足够资金。
由IBM安全部门赞助的《移动应用不安全状况》报告显示,移动应用开发平均花费为3400万美元,而其中只有6%(即200万美元)专门用于安全目的。也许更令人沮丧的是,该调查发现在400家受访企业中,50%表示他们的移动应用开发预算中没有用于安全的预算,而40%称他们没有扫描器移动应用中的漏洞。
这里很大一部分问题在于以安全方式构建这些移动应用的成熟度,“如果这些漏洞被利用,那么你放在这些设备中的业务数据和客户数据都将面临风险。”针对这个问题,爱加密的安全研发人员建议企业将开发中的安全问题来交给更为专业的第三方安全厂商来完成。
“在爱加密接触的客户中,大部分企业表示除了预算,更大的问题是涉足安全领域将需要投入大量精力去进行开发维护和安全技术升级。而我们则有一套成熟的安全方案来满足不同客户的安全需求,定制适合他们产品的安全解决方案,包含移动金融业、手机游戏,大型移动办公等行业。”
作为国内顶尖的移动安全领域服务厂商,爱加密已为众多银行、支付及大型上市手游公司提供了定制化的移动安全保护服务。爱加密CEO称,“但是在目前移动安全事故频发的背景下,我们要做的还有很多。爱加密愿做移动互联网的“卫道夫”,但是我们希望更多的企业参与到移动互联网的安全发展中来,构建更为和谐完美的移动互联网商业生态。”
