技术中台之移动平台安全架构设计

转载本文需注明出处：EAWorld，违者必究。

众所周知，移动信息安全一直以来都是大家关注的焦点，工业和信息话部近年来也在大力整顿移动App对于个人信息的违规采集。2020年新冠肺炎的爆发，很多公司都采用远程办公，移动信息化建设的需求更加迫切。

建设App不是简单的把PC端的业务迁移到手机端，我们要对移动信息化安全有一个清晰的认知。常见的移动安全问题有哪些，建设移动App时网关如何设计，移动App终端如何建设保障数据安全等等，本文将会为大家一一解答。

目录：

1．常见的移动安全问题介绍

2．移动安全设计之移动网关

3．移动安全设计之移动终端

一、常见的移动安全问题介绍

1．1移动安全问题之中间人攻击

关于中间人攻击，我们简单说下中间人攻击的原理：

比如你的App想访问服务A，正常情况下你是和A直接通信，访问路径为App－－＞A。有一天你不小心连接了一个不安全的WiFi，WiFi里有一个窃取信息服务C，这个时候你访问服务A，访问的路径就变成了App－－＞C－－＞A，你的信息在中间人C那里是透明的，而且还可以篡改你的请求信息。

在这里也提醒一下大家，出门在外，尽量不要去连接一些不安全的WiFi，你的个人重要信息可能就在不经意间被不法分子窃取。

1．2移动安全问题之App攻击

移动终端App的攻击，主要分为一下三个方面：

手机存储信息窃取

Android 手机对于信息存储安全的处理没有iOS的严格，很多App在一启动时就获取了非常多权限，比如相册、SD卡读写、手机基本信息（手机号）等等。如果你下载的三方App不是从正规的渠道（厂商的应用商店）下载，如果你下载了被重新打包注入了窃取信息的木马，一旦你使用该App并且授予了权限，你的手机信息（照片、通讯录等等）将会被获取传入到第三方服务。

手机日志敏感信息泄露

开发人员在开发期都会有打印日志的习惯，一个不小心就会有敏感信息打印到控制台，这样的app上线后就会有很大的安全隐患。不知道大家有没有在火车站充电桩给手机充过电，这里的充电口如果被不法分子利用，插入充电的时候，你的手机控制台的日志信息就会被完全收集。

界面劫持

界面劫持通俗点讲就是做了一个和目标App完全一样的页面，通过技术手段让目标app闪退，启动木马页面，一旦用户输入账号密码，你的信息就会被窃取。

1．3移动安全问题之开发工具攻击

大家还记得2015年的Xcode Ghost病毒吗？该病毒波及众多产品，其中不乏大公司的知名应用，也有不少金融类应用，还有诸多民生类应用。究其根源是开发者从非官方渠道下载了Xcode，导致打包后的应用里携带了三方代码，App运行会向三方服务发送用户数据。所以作为开发人员或决策者，一定要通过统一的、安全的、从正规渠道下载的工具的机器去打包App。