根據報導，2016 年有 69% 的企業部門使用兩至五種行動裝置應用程式，前一年增加 66%。

對企業而言，行動平台確實已經無所不在。它和許多新興的平台一樣，將會創造龐大的機會，尤其是以企業為目標的開發人員，

但這將對資料處理方式帶來何種影響？

[請參閱：行動裝置應用程式如何成為下一波網路犯罪的邊境]

根據報導，光是 2017 年 6 月，就有超過 1,000 個 Android 及 iOS 企業應用程式在應用程式與後端系統之間有不安全的通訊，暴露的資料量大約有 43 TB，至少有 39 個受影響的應用程式洩漏了 2.8 億筆個人身分資訊 (PII)。2016 年的一項研究發現，醫療保健及金融相關的行動裝置應用程式中，有 90% 含有重大的安全漏洞。

這些資訊呼應了「開放網路軟體安全計畫」(Open Web Application Security Project，OWASP) 最新版的常見行動裝置風險列表，這些風險包括多餘的功能、不安全的資料儲存方式及網路，有些應用程式幾乎完全沒有驗證及加密機制，無法阻止駭客進行逆向工程，重新封裝、欺騙或修改應用程式。

舉例來說，這些應用程式秘密允許存取裝置功能 (例如相機或錄音程式) 及各種個人身分資訊 (例如相片、聯絡人、簡訊、行事暦、位置及瀏覽記錄)。這些應用程式如果落入網路犯罪者的手中，顯然會帶來嚴重的後果。

無論是企業，或是一般使用者,隱私也是行動裝置應用程式重要的議題，行動裝置應用程式必須徹底檢查安全性，以免資料遭到濫用及感染惡意程式。最近發生在 Uber、Brightest Flashlight、Path、Kim Kardashian: Hollywood 行動裝置應用程式，以及小米的智慧型手機等事件，都是最佳的案例。

[請參閱：2016 年行動裝置威脅概況]

由於職場自攜設備 (BYOD) 工作方式的盛行，各種應用程式使用相同的網路，存取相同的資料，行動裝置生態系統讓工作與個人用途之間的界線更加模糊。儘管有各種挑戰，行動裝置應用程式開發人員仍有一些對策可提供企業資源，同時不犧牲企業的安全性與個人隱私。

六個開發人員須知:

1.    強制實施最小權限原則

將您應用程式執行時的權限要求，限制在必要的資訊或裝置元件範圍內。安全漏洞及惡意程式會利用使用者提升的權限。行動裝置並無不同。瞭解您所收集的資料，讓您可以清楚地定義您應用程式的信任邊界。確保您的應用程式設計介面 (API) 在其工作流程中實行此原則。

[趨勢科技白皮書：虛假應用程式：假冒真實性]

2.    實行堅實授權及多要素驗證

應用程序的驗證及授權中的缺陷，是行動裝置威脅常見的攻擊途徑，這些管道讓駭客透過中間人攻擊冒充其他使用者，或者存取裝置或應用程式的功能 (繞過 PIN 碼、將惡意程式碼注入應用程式等)。這些都是網路銀行應用程式的致命傷，例如取得一般使用者的銀行帳戶並竊取金融記錄，即可藉此獲利。開發人員應保護各項功能的安全，例如驗證員工的使用者身分，或判斷消費者可在應用程式中存取或執行哪些資源。 繼續閱讀