1.操作系统使用不当

使用操作系統開發人員推薦的安全最佳實踐非常重要。例如，应用程序可能无法正确使用操作系统实施的指纹扫描仪安全框架，而是通过指纹读取器使用凭据执行用户登录。这种不匹配可能会意外地将用户的凭据暴露给第三方。
避免這種危險的最佳方法是遵循手機操作系統開發商和製造商推薦的移動應用安全最佳實踐。

2.不安全的数据存储

另一個移動應用程序安全問題涉及攻擊者在通過盜竊或虛擬通過惡意軟件物理訪問用戶設備時暴露的漏洞。当开发人员未能使用安全加密来存储个人身份信息 (PII) 或其他敏感数据时，攻击者可以轻松地将设备连接到具有免费软件的计算机，该软件允许他们访问设备上的任何内容。移动应用程序安全最佳实践要求使用适当的加密方法，以防止攻击者能够读取私有数据，即使他们有权访问这些数据。
重要的是要了解哪些信息存在風險，然后对软件如何使用该信息进行建模——应用程序是将信息保存在本地数据库中还是将其发送到第三方 API。最初，最好将设备连接到计算机并使用Android Studio或 Xcode 等工具手动浏览设备以查找未加密文件。如果相关设备使用 Android 操作系统，开发人员可以使用 SQLite 数据库下载数据库文件并在本地连接到查询表，以确保对敏感信息进行加密。

3. 不安全的流量和 API 调用

不安全的通信是指從應用程序通過某個網絡發送到另一臺服務器的信息的安全性。应用程序通常充当客户端-服务器关系中的客户端，因此它们可能需要与主服务器联系以检索信息或验证用户身份。这样做时，同一网络上可能会有其他设备监控流量。IT 组织应考虑到其他人监听应用程序流量并使用适当的安全协议，例如安全套接字层/传输层安全(SSL/TLS)。否则，攻击者可能会破坏数据。
例如，考虑一个使用基于令牌的身份验证的应用程序。应用程序使用加密發送用戶憑據，但一旦收到令牌，应用程序在后续 API 调用期间以明文形式发送令牌。网络上的任何人都可以拦截这些请求，读取明文令牌并使用被盗的用户令牌进行恶意 API 调用。防止这些漏洞的移动应用程序安全最佳实践是始终对任何敏感的应用程序流量使用 SSL/TLS。

4. 代码篡改和越狱设备

代碼篡改是攻擊者獲取合法應用程序、修改源代码然后重新分发应用程序的地方。在这种情况下，攻击者可能会使用网络钓鱼攻击结合修改后的应用程序的链接来引诱用户下载这些恶意应用程序。
這些惡意攻擊通常利用植根或越獄設備，用户允许应用程序进行操作系统通常不允许的更改。有一些方法可以检测 root 或越狱设备，例如检测设备上是否存在某些应用程序或库。一旦开发人员检查了这些库，他们就可以指示他们的应用程序关闭并避免程序员无意中引入源代码的任何漏洞。

• 上一篇：爲Android和iOS构建APP的实际成本
• 下一篇：iOS 中的快照测试：测试 UI 及其他