今年5 月，谷歌在I/O大會上宣布，Kotlin編程語言成為其 Android應用程序開發(fā)人員的首選語言。

　　Kotlin 是一種面向現(xiàn)代多平臺應用程序的編程語言，成為谷歌開發(fā)Android 應用程序的首選語言后，許多開發(fā)人員逐漸地從 Java 轉向Kotlin。根據最新的一項調查顯示，有62% 的開發(fā)人員使用Kotlin 來構建移動應用程序，另有41% 的開發(fā)人員使用Kotlin 來構建Web 后端項目。

　　而隨著Kotlin的出現(xiàn)，越來越多的知名組織愈加重視移動應用程序的安全性。最近由 DHS與NIST 聯(lián)合的一項關于移動設備安全研究發(fā)現(xiàn)，應用程序中的漏洞通常是沒有遵循安全編碼引起，這些漏洞會對用戶的數據造成某種危害。

　　對于使用Kotlin 開發(fā)人員來說，熟悉這門語言并了解移動應用程序的安全編碼是非常重要的。以下是在使用Kotlin時遇到的一些常見漏洞：

　　不安全數據存儲

　　Android生態(tài)系統(tǒng)為應用程序提供了幾種存儲數據的方法。開發(fā)人員使用的存儲類型取決于幾點：存儲的數據類型、數據的使用以及數據是否應該保持私有或與其他應用程序共享。

　　而常見的編碼錯誤是以明文存儲敏感信息。例如，經常在應用程序使用的“Shared Preference” 或數據庫查找API 密碼、密碼和PII(Personally Identifiable Information)，由于攻擊者能夠訪問應用程序的數據庫(根設備、應用程序的備份等)，從而檢索使用該應用的其他用戶的憑據，這類疏忽越來越多地導致重要數據丟失。

　　不安全通信

　　目前，大多數移動應用程序在某種程度上以client-server的方式交換數據，當進行通信時，用戶數據就會在移動運營商網絡、或者某些WiFi 網絡和互聯(lián)網之間進行傳輸。正是這個過程，攻擊者就能利用其中的某個弱環(huán)節(jié)發(fā)起攻擊。如果數據傳輸沒有使用 SSL/TLS 加密，則攻擊者不僅能夠監(jiān)視以明文傳輸的通信數據，而且還能夠竊取交換的數據并執(zhí)行中間人攻擊。

　　為了防止不安全的通信，必須始終把網絡層認為是不安全的，并不斷確保移動程序和后端服務器之間的所有通信都是加密的。

　　不安全認證

　　移動設備中的輸入機制，例如4-PIN 碼或者基于TouchID 等特性的身份驗證，都會導致移動應用程序的身份驗證不安全且容易遭受攻擊。

　　除非有功能需求，否則移動應用程序不需要對其進行實時身份驗證的后端服務器。即使存在這樣的后端服務器，用戶通常也不需要在任何時候都處于聯(lián)機狀態(tài)。這給移動應用的身份驗證帶來了巨大的挑戰(zhàn)，每當在本機進行身份驗證時，就可以通過運行時操作或修改二進制文件來繞過已越獄設備上的身份驗證。

　　不安全的身份驗證不僅僅是猜出密碼、默認用戶帳戶或破壞數據。有時，可以繞過身份驗證機制，系統(tǒng)無法識別用戶并記錄其(惡意)行為。

　　代碼篡改

　　所謂的代碼篡改指的是：在設備上下載一個應用程序后，該應用的代碼和數據是存于該設備的。由于大多數應用程序是公共的，這導致攻擊可以進行修改代碼、操作內存內容、更改或替換系統(tǒng)API 或者修改應用程序的數據和資源。

　　為了防止代碼篡改，重要的是移動應用程序能夠在運行時檢測到代碼已被添加或更改。開發(fā)團隊應該做出相應的行動，向服務器報告代碼沖突或者執(zhí)行關機。

　　魔高一尺，道高一丈。技術總是不斷發(fā)展，未來仍會暴露出新的應用程序安全性漏洞，通過警惕一些編碼錯誤，開發(fā)人員可以構建更安全的Android 應用，避免掉入陷阱。

　　利用技術總是在不斷發(fā)展;未來可能會基于可能暴露新的應用程序篡改點的依賴關系發(fā)現(xiàn)新的漏洞。通過了解這些編碼錯誤，開發(fā)人員可以構建更安全的Android應用程序，并躲開可能導致這些情況的陷阱。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內處理完畢。