NIX为Android应用程序时检查了10个安全问题

廉价和高质量的设备在Android中得到广泛使用，这创造了巨大的市场。 想要保持可见性并与客户(或员工)互动的公司必须确保他们拥有移动应用程序等。但是，选择可信赖的应用程序开发公司可能是一个挑战。 Nix Solutions是一家网络和移动软件开发公司，也是Upwork(自2002年以来)排名最高的成员。 工作成功率为98%，在2,100多个工作中赚取了大约1,000万美元。

该公司的GitHub开源产品组合可以在https://github.com/nixsolutions/portfolio中找到。鉴于该公司还具有Android开发方面的专业知识，因此下面概述了该公司所观察到的与该平台相关的最突出的安全问题。

API管理差API的

问题值得一提。鉴于这些负责应用程序，用户，云之间的集成功能和数据交换，并且可以从其他方重用这些事实，因此开发人员必须非常了解这些交换的数据类型以及潜在的安全漏洞。

缺少二进制保护

如果缺少这种保护，则可以对代码进行反向工程以引入质量差甚至恶意的序列(恶意软件，病毒)，从而导致用户体验受损，软件制造商形象受损甚至财务欺诈和用户数据失窃。因此，需要采用各种二进制强化技术，例如校验和检测，越狱检测，调试器检测等。此外，应使用代码混淆和加密。

不安全的数据存储

鉴于本机应用程序将所有数据和功能代码存储在设备上，因此与Web应用程序相比，它们更容易受到利用和病毒的攻击。此外，盗窃用户设备可能会导致个人数据滥用，并由此引发所有后果。明智的解决方案是在操作系统附带的加密技术之外或至少将用户数据和文件存储在加密容器中的基础上，实现额外的加密级别。

加密

技术破裂尽管开发人员进行了加密工作，但他们可能会犯一些错误，从而使恶意的方可以解密敏感数据。常见原因包括加密算法不安全，自定义协议或对内置加密的过度依赖。显然，解决方案是使用强大的，公认的加密协议以及有效的实现。

缓存管理不善

一个潜在的错误是使缓存不受保护，并允许将敏感数据存储在此处。为了解决这个问题，必须实现一个智能缓存清理周期。日志和浏览器cookie管理也是如此。

身份验证措施使用

不当如今，设备具有许多增强安全性的功能，例如指纹扫描仪和面部识别(除了传统功能，例如密码，手势解锁等)。因此，最好使用迄今为止可用的最安全的功能(或它们的组合)，而不会影响用户体验。尤其重要的是访问令牌的实现(用户每次访问应用程序时均无需引入登录凭据)，例如：JSON Web令牌，OAuth2，OpenID Connect。

不安全的网络连接和不良的服务器安全性

必须保护在应用程序服务器和用户之间或用户与Internet之间交换的数据免受第三方或意外泄漏的影响。一些建议包括：

by通过VPN建立加密连接，

⦁实施证书固定，

⦁承包网络安全公司的服务以执行渗透测试，

⦁对用户数据库(在服务器上)进行加密。

会话处理不佳

该概念通常表示在适当的情况下未从用户退出会话的情况，这会导致会话时间过长，从而带来风险和潜在利用风险(如果访问令牌被盗或设备被盗) )。一种解决方案是针对应用程序内的任何重要操作，另外请求用户凭据(例如密码)。

安全性测试不足

由于对应用程序代码的测试不足，引入了许多错误。开发人员需要测试其代码是否存在漏洞(使用设备和浏览器模拟器)。此外，Google Play批准该应用程序时所采用的安全性测试并非全面解决方案，因此需要开发人员采取其他措施。

如果您有一个开发项目，并且正在寻找一家在适当实施所有安全措施的情况下执行该工作的公司，请随时与100多位已经签约服务的客户探讨Nix Solutions的评论。