第一次接触手机APP，是从爱立信 R380SC开始的，当时PDA的功能着实比普通的手机方便很多。随后我一直使用塞班系统的手机，直到iPhone手机的腾空出世。iPhone 3GS也许在现在看来已经过时很久了，但对于当时的我来说，新世界的大门被开启了。手机里形形色色的应用程序吸引着我，而我也知道，我们生活的世界将随之发生巨大的变化。

时至今日，iPhone和其他手机品牌也成为了IOS和Android两大阵营，似乎手机中的App已不再成为手机厂商的竞争之地，而是更多地在硬件和功能上的“军备竞赛”。相信我们绝大多数人，尤其是青年人现在的生活已经与手机APP无缝衔接了。从清晨叫醒睡意的手机闹钟、中午送啥都快的外卖APP、闲暇时间放松心情的手机游戏、一直到晚间帮助睡眠的阅读APP，我们已经无法离开手机，无法离开各色便利好用的APP。

APP占据着我们的衣食住行的每一个方面。据不完全统计，截止2018年底，IOS App Store以及Google Play上的APP已分别接近250万及400万。在一些成熟的APP市场上，几乎每人每天都将花2-3个小时在APP上。于此同时，APP良莠不齐的问题也一直困扰着广大用户。从恶意应用的诱骗欺诈，到山寨应用窃取用户信息，种种问题亟待解决。

TÜV南德作为全球知名的第三方检测认证机构，随着数字化进程的发展，也逐渐关注到数字化新兴技术的诞生对于人类，环境和财产所带来的风险较之前的各种新兴技术丝毫不亚于甚至远远超乎我们的想象。2018年，TÜV南德与西门子、戴姆勒、思科、空中客车、道达尔、IBM、DELL等16家国际性公司共同签署了 “迈向安全的数字世界” 之《信任宪章》，致力于保护公众利益和经济价值得到保护，避免网络和混合威胁的影响。

鉴于手机APP已经和大家的生活紧密相关，所以经过我们专家团队的分析，APP成为我们首先想到的方向，我们决定给目前手机APP做个 “体检” 。

在“体检”之前，有必要介绍下体检的方法：

目前对于APP的检测方式主要“漏洞扫描”（Vulnerability Assessment）和“渗透测试” （Penetration Testing）两种主要方法。

漏洞扫描是指是指基于漏洞数据库，通过扫描等手段对指定对象的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为。而渗透测试是对指定对象的授权模拟攻击，用于评估安全性。执行测试以识别两个缺点（包括未授权方访问系统的特征和数据的可能性）以及优点，使得能够完成完整的风险评估。

漏洞扫描允许用户发现APP中的已知弱点，并定义修复和提高应用程序整体安全性的方法。它基本上查明是否安装了安全补丁，是否正确地配置为使攻击变得困难。而渗透测试主要模拟实时情况，帮助用户了解APP是否可以被未经授权的用户访问，如果是，那么会造成什么损害，以及哪些数据等。因此，漏洞扫描是一种侦测控制方法，它提出了改进安全程序和确保已知缺陷不重新出现的方法，而渗透测试是一种预防控制方法，它给出了系统现有安全层的总体视图。

TÜV南德在汽车、医疗、家电以及青年人关注的游戏领域进行了一些尝试，希望能唤起社会以及广大群体对手机APP安全问题的关注。我们将陆续通过专业的报告来告知有关的风险，敬请期待。

下面举一个真实案例让大家感受下手机APP的安全问题究竟有多重要。

手机游戏篇

某款宠物对战虚拟现实游戏刚出品就顿时刷爆互联网成为最热门话题，除了游戏本身，网络安全专家还关注其中的安全风险。

查看与玩家帐户相关联的安全权限后表明，该游戏具有完全帐户访问权限，而且是默认的自动设置，如果选择拒绝访问权限游戏将不能正常运行。而“完全访问权限”  一旦开启，应用程序可以访问、操作你账户里的任何信息：你在网上的花费、你的地理位置行踪、甚至你的通讯录等等数据，都会被上传到服务器。这就意味着，你的隐私数据就像空气一样曝露在外面，即使出品公司不用它们干坏事，但是一旦被黑客入侵、获取或利用，后果将不堪设想……

捡证网提供相关检测认证咨询服务，咨询电话：13636483412  QQ: 495226609 邮箱：yangda@jz-cert.com