Zimperium 报告称约 1/3 谷歌安卓、1/2 苹果 iOS 应用会泄露敏感数据

9 月 26 日消息，安全公司 Zimperium 最新研究发现，超过半数 iOS 应用存在泄露敏感数据风险，比例高于安卓应用（约三分之一）。移动应用已成为 API 攻击的主要战场，带来严重的企业数据泄露与欺诈风险。

注：API 全称为 Application Programming Interface，就像不同系统间的“通信协议”，是软件之间用来交换数据和指令的接口。

研究指出，移动应用在不可信设备上运行 API 端点和调用逻辑，易被篡改或反向工程。攻击者可拦截流量、修改应用，并让恶意 API 调用看似合法。防火墙、网关、代理和 API 密钥验证等传统防护手段，无法有效阻止发生在应用内部的攻击。

即便采用 SSL 证书绑定（SSL Pinning）防御中间人攻击，仍存在漏洞。近三分之一的安卓金融类应用和五分之一的 iOS 旅行类应用仍可被攻击。此外，许多应用在设备端错误处理敏感数据，存在控制台日志记录、外部存储和不安全的本地存储等问题，使数据更易被获取。

报告还发现，31% 的全部应用及 37% 的 TOP100 应用会将个人可识别信息传输到远程服务器，其中不少未加密。一些嵌入的 SDK 甚至会秘密外传数据、记录用户操作、捕获 GPS 位置并发送至外部服务器。这表明，即便是官方商店的应用，也可能存在严重安全风险。