隨著移動互聯網的火熱發展，以及IT消費化給企業用戶帶來的巨大變革，使得移動應用市場也越發火熱起來。從最小的微型企業到最大的大型企業，幾乎所有的企業都想方設法要在移動應用領域分一杯羹，業界正在見證著一場聲勢浩蕩的移動應用開發熱潮。然而，在各種企業盲目地沖進這塊處女地時，移動開發人員感到有些擔心：由于移動開發環境仍然處于起步階段，并沒有真正可行的標準來引導開發工作，可以說，這對于所有參與移動開發領域的各方來說都是一次冒險。

[[57689]]

最讓安全專家擔心的是快速的移動開發周期以及缺乏移動平臺相關的經驗導致開發者在面對移動應用程序時，將過去五年行業努力推行的各種安全開發原則都拋之腦后。

“快速的開發周期讓編程可以在很短的時間內實現，從而導致安全性被忽略，安全成了一件很好但很難做到的事情，這種情況發生在大公司(看看Googlewallet：GoogleWallet爆漏洞支付帳號易被盜用)，也發生在剛剛起步的小公司，”應用程序安全公司Cenzic工程總監TylerRorabaugh表示，“當Techcrunch宣布最熱門的新公司時，幾乎所有這些公司都缺乏安全編碼的做法，很少關注安全問題，除非真得出現了問題，大多數時間里他們甚至沒有意識到這些問題。”

據Rorabaugh表示，大型移動平臺供應商(例如蘋果和Google)現在才剛開始思考安全移動編碼。

困難之處在于即使對于意識到風險并想要確保其移動應用程序安全性的大型公司而言，目前并不存在可行的開發標準，也沒有測試編碼是否存在漏洞的可用工具。

“我們的一些客戶正在開發移動應用程序，并準備將程序介紹給他們的客戶，而我們會對這些應用程序進行審查以確保它們的安全性，”安全咨詢公司Protiviti公司執行董事ScottLaliberte表示，“這需要我們來重新審視我們的應用程序測試辦法，因為測試移動應用程序要比測試一般應用程序要困難。確定你測試移動應用程序所面臨的主要風險和所需要的技術可能是一個挑戰，而缺乏標準則是另一個巨大挑戰。對于移動領域而言，并不存在OWASP或者任何真正的編碼標準。”因此，充斥在市場上的所有移動應用程序都可能存在重大漏洞，可能讓企業和客戶處于風險之中。例如，Rorabaugh表示，移動應用程序開發人員并沒有測試移動應用程序在云端使用的移動服務，并且這些移動應用程序中存在嚴重的加密漏洞，例如讓未加密的密碼保存在數據緩存文件中。事實上，去年八月，數字取證與安全公司viaForensic在報告中稱，在Android和iOS設備上運行的消費級應用程序中有76%的程序將密碼以純文本格式保存。

“本地應用程序將太多數據以未加密格式存儲在手機上，”他解釋說，即使這些密碼已經被加密，現在攻擊者已經擁有足夠的其他信息(例如社會安全號碼和信用卡信息)來套出你的密碼。

GoogleWallet就是這樣的例子，同樣也是在viaForensic公司的報告中，報告指出GoogleWallet將所有除信用卡信息外的敏感信息以純文本格式本地存儲在設備中。

最近也有一條這方面的新聞，某web分類供應商zvelo公司的一名工程部員工輕松地破解了裝在智能手機上的GoogleWallet的PIN碼。

隨著企業推出越來越多涵蓋敏感信息和安裝支付系統(例如GoogleWallet)的應用程序，他們需要對潛在風險進行仔細考慮，Rorabaugh表示。

“不要因為你需要盡快推出一個應用程序，就跳過了安全部分，應該仔細檢查最容易出現風險的地方，”他說道，他還鼓勵企業使用動態和靜態測試技術通過內部和外部測試團隊，同時測試移動應用程序的客戶端和服務部分。