安全防護解決方案企業Arxan Technologies剛剛釋出了《應用安全現狀(State of Application Security)》年度報告,這是Arxan Technologies第五次釋出此報告了。該報告相對深入地窺探了大量流行移動應用的安全情況。這份報告對比了使用者對應用安全的認識,和應用開發者著手處理已知漏洞的情況,結果發現兩者相去甚遠,很多應用的確也沒有我們想象的那麼安全。
大約有90%的受測應用存在OWASP(開放web應用安全計劃)移動Top 10(Mobile Top 10 Risks)安全風險中的其中至少2項安全問題——這裡的移動應用安全風險Top 10是移動應用中最關鍵、緊要的安全漏洞。這個資料表明了移動應用的安全現狀實際是不容樂觀的。
從接受調查的使用者來看,83%的人相信,他們在用的軟體是足夠安全的,相較而言應用開發方面的IT管理人員有87%認為他們的移動應用是足夠安全的。僅有57%的使用者相信,為保護軟體安全性,所有可行的方案都已經做了——這和開發者這一方的資料是明顯有差異的。有48%的使用者認為,他們用的應用是有可能在未來半年內遭遇被黑的風險的。
其他資料還包括98%的受測應用缺乏二進位制碼保護,可致逆向工程或篡改;84%的受測應用在傳輸層方面的防護極弱,可致資料或身份識別被竊;80%的使用者如果在瞭解到在用的應用存在安全問題,或者有更安全的類似應用可用,就可能會選擇放棄正在使用的這款應用;5%的組織在保護移動應用方面的預算為0。
Arxan Technologies測試了126款比較流行的移動健康和金融類應用,這些應用分別來自美國、英國、德國和日本,測試內容主要就是針對安全漏洞的,下面這張表給出了比較詳細的調查報告。