移动应用安全：2023年的趋势与挑战

关键要点

疫情推动企业快速构建数字工具。2021年底，移动健康和商业应用下载量大幅增加。开发团队面临人力短缺和多重承诺的压力，会影响移动应用安全。81的开发者认为iOS和Android的标准安全措施不足以保护移动应用。发现了大量存在安全漏洞的移动应用，包括AWS凭证和Firebase配置错误。企业需优先考虑移动应用安全，从开发流程中嵌入安全测试。

众所周知，疫情促使各行各业的企业迅速构建数字工具。到2021年底，移动健康和商业应用的消费者下载量分别增加了187和102。

在2022年的过程中，快速发布新移动应用以及持续改善应用内用户体验的压力依然很高。由于开发团队人手不足、工作负荷重，他们常常需要在快速推向市场、提供优质用户体验和移动应用安全之间做出权衡。开发团队经常将安全问题优先级降低，推迟到软件开发生命周期的后期，这往往导致需要重新审查数周甚至数月前编写的代码。很多时候，开发者只能依赖移动操作系统提供的保护。

说到底，关于移动应用安全，81的开发者认为iOS和Android的标准安全措施不足以保护移动应用，而他们并非没有道理。随着市面上已有移动应用的安全漏洞被揭露，企业将越来越重视移动应用安全，需在开发过程中融入安全测试，采取多层次的方法保护自己的应用，并利用实时监控在应用上线后理解和应对威胁。

最近揭露的移动应用漏洞

除了去年发生的大规模数据泄露之外，像赛门铁克和Comparitech这样的公司还发现了数千个市场上移动应用开发中使用的流行工具存在的漏洞，给企业造成了安全隐患。

迅猛兔加速器官方正版

举一个例子，我们发现超过1800个公开的iOS和Android应用包含硬编码的AWS凭证。其中77的AWS访问令牌允许访问AWS云服务，近一半的令牌则允许访问存储在亚马逊简单存储服务中的私密文件。一家提供内部网络和沟通平台的B2B公司就是因此错误而受到影响，暴露了超过15000个客户的公司和财务记录，以及员工的个人数据和内部网络文件。

在今年5月，我们还了解到多达24000个使用Google Firebase的移动应用未能得到妥善保护，导致任何人都可访问包含用户个人信息和其他敏感数据的数据库。更糟的是，一些搜索引擎还在索引这些Firebase数据库的URL，使得威胁参与者更容易找到并利用这些漏洞。

随着我们迈向2023年，DevSecOps将面临新的安全需求压力。在移动应用漏洞快速暴露且影响深远的情况下，移动应用安全将开始在迅速推出新功能丰富的移动应用的压力面前显得至关重要。

在AWS访问令牌