安全防护解决方案企业Arxan Technologies刚刚发布了《应用安全现状(State of Application Security)》年度报告,这是Arxan Technologies第五次发布此报告了。该报告相对深入地窥探了大量流行移动应用的安全情况。这份报告对比了用户对应用安全的认识,和应用开发者着手处理已知漏洞的情况,结果发现两者相去甚远,很多应用的确也没有我们想象的那么安全。
大约有90%的受测应用存在OWASP(开放web应用安全 计划)移动Top 10(Mobile Top 10 Risks)安全风险中的其中至少2项安全问题——这里的移动应用安全风险Top 10是移动应用中最关键、紧要的安全漏洞。这个数据表明了移动应用的安全现状实际是不容乐观的。
从接受调查的用户来看,83%的人相信,他们在用的软件是足够安全的,相较而言应用开发方面的IT管理人员有87%认为他们的移动应用是足够安全的。仅有57%的用户相信,为保护软件安全性,所有 可行的方案都已经做了——这和开发者这一方的数据是明显有差异的。有48%的用户认为,他们用的应用是有可能在未来半年内遭遇被黑的风险的。
其他数据还包括98%的受测应用缺乏二进制码保护,可致逆向工程或篡改;84%的受测应用在传输层方面的防护极弱,可致数据或身份识别被窃;80%的用户如 果在了解到在用的应用存在安全问题,或者有更安全的类似应用可用,就可能会选择放弃正在使用的这款应用;5%的组织在保护移动应用方面的预算为0。
Arxan Technologies测试了126款比较流行的移动健康和金融类应用,这些应用分别来自美国、英国、德国和日本,测试内容主要就是针对安全漏洞的,下面这张表给出了比较详细的调查报告。