手機APP使用過程安全嗎？

　最近，監(jiān)聽事件在國際上鬧得沸沸揚揚，而在此之前的央視3.15晚會上也曝光了某些不良廠商利用手機APP監(jiān)聽手機用戶的短信、通話記錄等隱私數(shù)據(jù)的內(nèi)幕，手機APP應(yīng)用的安全問題一時間成為人們關(guān)注的焦點。為此國家安全部、科技部、工信部等多部委正在積極制定移動應(yīng)用統(tǒng)一的安全規(guī)范，而目前則明令禁止國家機關(guān)、涉密單位等部署移動應(yīng)用接入辦公專網(wǎng)、內(nèi)網(wǎng)的信息系統(tǒng)。

專業(yè)領(lǐng)域包括網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、商城網(wǎng)站制作、微信營銷、系統(tǒng)平臺開發(fā)， 與其他網(wǎng)站設(shè)計及系統(tǒng)開發(fā)公司不同，成都創(chuàng)新互聯(lián)公司的整合解決方案結(jié)合了幫做網(wǎng)絡(luò)品牌建設(shè)經(jīng)驗和互聯(lián)網(wǎng)整合營銷的理念，并將策略和執(zhí)行緊密結(jié)合，為客戶提供全網(wǎng)互聯(lián)網(wǎng)整合方案。

在協(xié)同辦公領(lǐng)域有些廠商為了經(jīng)濟利益或者出于吸引客戶眼球，而推薦客戶使用手機客戶端(APP模式)軟件來進行網(wǎng)上辦公，但對于手機及移動端APP普遍存在的安全問題并無有效的解決方案或有意忽略，致使客戶的內(nèi)部辦公數(shù)據(jù)甚至是單位內(nèi)部的機密信息處于極大的安全隱患之中。

在當(dāng)前技術(shù)及使用環(huán)境下，手機OA(APP)應(yīng)用面臨的主要安全問題如下：

1. APP可以被任何用戶反編譯，代碼可以任意修改

APP相當(dāng)于在用戶手機上安裝了一套軟件，這套軟件不能自成一體，必須調(diào)用服務(wù)器的接口獲取數(shù)據(jù)，從而在手機上展示;安裝了APP的用戶都有機會將其反編譯并修改，從而深入研究了解系統(tǒng)的業(yè)務(wù)邏輯并隨心所欲的獲取服務(wù)器任意數(shù)據(jù)。而B/S架構(gòu)的程序文件全部安裝在服務(wù)器上，客戶端無法獲取任何代碼，服務(wù)器都有防火墻、防入侵等軟硬件安全措施層層保障，普通用戶要想獲得系統(tǒng)程序文件幾部不可能。單從這一點看APP應(yīng)用毫無安全性可言。

2. 非法軟件侵入

因為手機屬于個人并且聯(lián)網(wǎng)，在瀏覽網(wǎng)頁下載應(yīng)用的過程中不知不覺就可能被安裝了各種非法軟件甚至病毒木馬，有些無良廠商在安裝手機應(yīng)用的過程中后臺自動植入其后門軟件，這些軟件竊取竊聽數(shù)據(jù)信息都是在后臺不知不覺中進行的，用戶毫不知情，數(shù)據(jù)就可能已經(jīng)被人獲取分析利用了。

3. 人為惡意竊取數(shù)據(jù)

單位中不少人特別是領(lǐng)導(dǎo)對于andriod、ios等復(fù)雜的安裝配置操作并不熟悉，往往需要系統(tǒng)管理員或者其他精通技術(shù)的人來協(xié)助其安裝配置，如果系統(tǒng)管理員心思不正悄悄安裝了竊聽或木馬軟件在其手機，那么將來此領(lǐng)導(dǎo)的通話、其處理的工作審批等都將被非法獲取，其個人乃至整個單位都處于極大的安全隱患之中。

4. 數(shù)據(jù)安全保密性無保障

一般使用手機APP應(yīng)用時人們都習(xí)慣設(shè)置自動登錄，這樣一旦手機被他人使用或者丟失等情況發(fā)生時，辦公系統(tǒng)中單位內(nèi)部數(shù)據(jù)或機密信息無疑將被泄露。

5. 單位機密信息傳播范圍無法控制

因為手機具有移動的特點，所以通信信號非常不穩(wěn)定，所有手機APP應(yīng)用軟件一般都會把系統(tǒng)數(shù)據(jù)下載到手機設(shè)備中保存，從而實現(xiàn)系統(tǒng)的連貫性，這樣一來本來只能在單位內(nèi)部傳閱的文件、資料、審批單據(jù)等就可能因為手機的移動而被擴散到了任意地點，給單位內(nèi)部的信息安全造成威脅。

6. 智能手機操作系統(tǒng)的技術(shù)積累不夠，系統(tǒng)漏洞多

智能手機操作系統(tǒng)的漏洞缺陷眾多，因此，andriod、ios等主流操作系統(tǒng)幾乎不到一年時間就會推出一個大版本的升級計劃，手機APP一般無法及時修改更新，如果出現(xiàn)安全漏洞將會給單位的信息安全造成損失。(比特網(wǎng))

怎么保證APP和服務(wù)器端通信的安全性

用HTTPS通信，另外APP往服務(wù)器接口發(fā)送的參數(shù)帶token，還要加上簽名，服務(wù)器端驗簽名（以防參數(shù)被篡改），校驗token；同時加上時間戳，防止重放。（簽名算法、密鑰的分配安全存儲要設(shè)計好）

對服務(wù)器接口要有監(jiān)控，監(jiān)控到異常情況要有處理方案。

app訪問所有類型文件安全嗎

不安全

消息推送，相機/麥克風(fēng)的訪問權(quán)限，訪問位置和文件。

不少的APP拿到這個權(quán)限之后，會給你推送各種各樣的不必要信息，重要的是，會在后臺不斷的接受信息，不僅占用運存空間，而且還很耗電。除了社交類軟件，最好不要給其他的APP授權(quán)。一般來說，這個權(quán)限只有導(dǎo)航地圖才需要，大部分的軟件都用不到的，可以不給就不給，畢竟獲取你的地理位置需要在后臺不斷刷新，既耗電又不安全。

如何保證手機端的app訪問web服務(wù)器的安全

最好的辦法是用比較靠譜的服務(wù)器安全軟件，其實現(xiàn)在市面上好多，本人用的是云鎖。它實現(xiàn)了對服務(wù)器的多端防護（PC、web、APP等），而且占用系統(tǒng)資源特別小，值得一用。