你新下载的智能手机应用或许满是漏洞,而黑客可利用这些漏洞控制你的手机或从中窃取信息——如果你下载的新应用没有出现类似问题,或许再下一个应用就会遭殃。

以色列网络安全初创企业Checkmarx一项研究在分别对七项安全协议进行调查后发现,60%的智能手机应用都存在“高危”或“严重”安全问题。总体来看,每10款应用中就有4款存在严重漏洞,可让黑客控制设备或其中的数据。

该研究分别检测了苹果iPhone手机和iPad平板操作系统以及安卓系统中经上报的安全漏洞,其中大部分其他智能手机生产商采用的是安卓系统。

尽管苹果和安卓系统平台绝大部分应用开发人员声称他们绝不会在还未确保应用完全安全的情况下发布应用,但研究结果却显示双方应用安全性能均表现不佳。

研究表明,苹果手机用户不必对比试结果沾沾自喜。尽管由于苹果的“围墙花园”模式,苹果操作系统用户相信他们的设备更加安全,但苹果商店应用的安全性和那些专为安卓系统设计的应用相比不相上下,而“围墙花园”本应成为苹果团队审查苹果商店每款软件网络安全性能以及其他功能的地方。

其实在某种程度上,专为自由自在和随心所欲的安卓开发环境编写的应用面临着比苹果操作系统更低的安全风险。在安卓系统中,设备可加载任何一款应用,无需经过审查。Checkmarx表示,“在苹果操作系统经测试的应用中,有40%检测出来的漏洞属于严重或高危级别”,而安卓应用这一比率为38%。

目前尚未能联系上苹果作出评论。

随着功能更加强大的新型智能设备的出现,包括运行速度、处理能力、拍照和录像等方面的不断提升,开发人员急着编写新应用和加强现有应用,以满足那些新增功能。在一个新应用层出不穷、下载量以数百亿计的世界里(截至去年六月,苹果表示苹果商店下载量已突破750亿大关),开发人员理所当然地认为,如果他们不是向市场推出新功能的第一人,那么他们就会被市场淘汰。

但Checkmarx表示,开发人员显然忽视了还要保证那些功能的安全性。

“过去七年来,移动应用行业的大爆炸已为黑客和安全专家的角逐创造了一个全新的战场。”该公司说,“但其中扮演着最重要角色的一方——开发人员却远远落在后面。”

报告指出,许多应用的风险不容小觑。

“黑客可能只需通过物理地址访问进入设备几分钟就能以原机主的名义窃取数据或进行操作。”报告表示,“移动恶意软件能够窃取个人信息、以用户的名义发送短信、获得私密照片并以用户的名义发布出去,而这些只是危险恶意软件可对用户移动设备造成的部分威胁。”

报告列出了开发人员的“七宗死罪”,大部分开发人员都没能解决身份验证(确保只有授权用户才能获取数据)、防御拒绝服务攻击(报告表示此类攻击通常以应用崩溃的形式对用户进行攻击)、不当配置(可允许未经授权一方‘合法’访问设备)以及信息泄露(密码和其他敏感数据被公开,未能安全或加密保存)等诸多问题。

“保证数据安全需要解决加密/解密、身份验证、授权以及与服务器端安全交流等问题。”报告表示,“但此次研究证明,我们仍任重而道远。”

解决的办法就是始终保持警惕,注意新应用和功能的潜在风险。

报告指出:“风险是确实存在的。检测出来的风险指数表明几乎所有移动应用的应用安全性都存在真正的风险。在不远的将来,除非我们改进安全编码技术,否则以移动应用为载体进行的大型黑客袭击将显著增加。各企业组织不可只依靠外部防御系统,编码层次的安全也扮演着非常重要的角色。”