APP开发流程不规范致用户遭殃

事实证明，并没有完全安全的系统或应用程序，黑客是否会破解一个系统或应用，完全要看破解之后是否能给黑客带来价值。

众所周知，业界普遍有种说法是MAC系统、Linux系统非常安全。但从黑客角度来看，当地一个系统用户量很少时，即使破解了，也给其带来不了多少价值。CIH病毒作者陈盈豪对搜狐科技表示，对黑客而言，破解Windows、Android、iOS等用户基数大的系统或应用，甚至利用漏洞盗取企业或个人用户的信息，能让黑客有更大成就感，他们也能从这些行为中获得更大价值。

一位安全行业人士对搜狐科技表示，现在很多应用开发公司对安全重视程度并不高。这主要表现在两个方面，一是在流程管理方面，二是在应用开发方面。

以苹果XcodeGhost事件为例，事件发生后，安全厂商及受波及的应用开发公司，几乎都避重就轻，只注重技术层面的分析，而没有从根源上认识到程序开发过程中因流程不规范而导致的这些问题。如果应用开发团队都是用官方的套件做开发并在之后的审核等流程中做有效的控制，根本不会出现这样的问题。

这件事情暴露了很多知名互联网公司内部IT安全管理、代码复审等环节存在严重不规范的问题。因为这些企业的原因，导致用户设备信息甚至个人信息泄露，需要引起业界足够的重视。

金融P2P应用安全堪忧

随着互联网金融的发展，企业不重视安全的问题，在移动支付、理财类应用上也日益突出。

据搜狐科技了解，目前除了银行类APP应用及第一梯队互联网公司的金融类应用安全性更有保障外，其它中小企业的金融P2P、理财类等应用或多或少都存在安全隐患。

一家安全企业日前给搜狐科技完整演示了四五家P2P及理财应用中还没有正式对外披露的漏洞。

从这家安全企业演示的过程来看，一家位于广州的互联网金融公司，其一款基金类应用甚至明?发送用户的账号和密码。用户的姓名、?份证、预留?机号码、银?卡号也同样使用明?传输，存在极大安全风险。

这家金融公司旗下另一款理财类应用，虽然数据传输进行了加密，但全程使用http协议，而没有采用业界普遍使用的https协议，数据存在传输过程中被劫持并篡改的风险。

另一家位于深圳的金融理财公司，其APP在验证用户?份时，姓名及?份证号也同样使用明?传输。更奇葩的是，在验证用户身份时，这款APP对姓名并没有做校验，只要身份证号曾经在这个APP上注册过，输入任意姓名+真实身份证号就能验证通过。