由于無需下載、用完即走、資源消耗少等優(yōu)勢,越來越多的用戶開始通過小程序來玩游戲、訂餐、網(wǎng)購…..這讓小程序的用戶規(guī)模呈現(xiàn)出爆發(fā)式的增長。《2018年小程序生態(tài)進化報告》顯示,截止到2018年6月,小程序累計用戶數(shù)已突破100萬,累計用戶量更是達到6億。
對于應用的開發(fā)商與運營商來說,小程序不僅帶來了來自微信平臺的流量入口,而且由于微信把很多功能集成在小程序的底層架構里,因此開發(fā)與運營的成本得到降低、效率也實現(xiàn)了提升。受益于此,小程序的規(guī)模近年來快速增長,數(shù)據(jù)顯示,目前微信小程序總量達100萬,2018年年底預計將達到300萬,游戲、電商、O2O、工具內(nèi)容、企業(yè)協(xié)同辦公等種類的小程序更是成為產(chǎn)業(yè)熱點。
小程序的生態(tài)在不斷繁榮的同時,也讓應用的開發(fā)商會對其安全性產(chǎn)生擔憂,畢竟很多開發(fā)商已經(jīng)將重要的業(yè)務、數(shù)據(jù)同步到小程序之中,一旦出現(xiàn)安全問題,將可能造成運營、品牌等方面的重大損失。
專家分析稱,從安全架構上來說,微信小程序擁有不允許跳轉(zhuǎn)到外部網(wǎng)站、不允許相互跳轉(zhuǎn)等安全設計,因此小程序在規(guī)避跨站腳本等風險方面具備天然優(yōu)勢,但這并不表示其在安全方面就無懈可擊。
事實上,由于小程序在本質(zhì)上是Web應用,在應用開發(fā)方式、功能交互、應用交付流程等方面與普通應用并沒有什么根本差異,因此并不能避免傳統(tǒng)的應用安全問題。如果應用開發(fā)商沒有將安全防護能力覆蓋到小程序,有可能致使其成為黑產(chǎn)入侵的突破口。
具體來說,小程序所面臨的業(yè)務安全風險包括:
● 薅羊毛:很多電商類客戶會在小程序上進行紅包、優(yōu)惠券等形式的營銷,黑產(chǎn)一樣可以通過虛假注冊、惡意下單等方式來“薅羊毛”,這會讓客戶的營銷引流效果大打折扣,50%-80%的營銷資金都可能會因此而浪費。
● 山寨仿冒:微信小程序通過唯一的 Appid 來識別身份,如果不法分子通過逆向等方式來竊取核心代碼,仿冒偽造小程序,且使用不同的 Appid ,有可能繞過微信的審核流程進行發(fā)布,這會給小程序開發(fā)商的業(yè)務帶來風險。
● 數(shù)據(jù)被惡意爬取:微信小程序存在的接口數(shù)據(jù)泄露等隱患,容易帶來信息爬取風險,如果核心數(shù)據(jù)被爬取并挪作他用,不僅會帶來顯著的經(jīng)濟損失,更會降低競爭優(yōu)勢。
雖然微信小程序存在著難以忽視的安全風險,但是很多小程序開發(fā)商表示,市場上缺乏專門整站營銷的安全解決方案,導致自己的安全問題上一籌莫展。
首先,傳統(tǒng)安全解決方案并非針對小程序所設計,因此往往會出現(xiàn)適配性的問題,小程序的開發(fā)商往往需要將大量精力耗費在與安全服務的兼容、調(diào)優(yōu)方面,而且還有可能會影響小程序的持續(xù)運營。
其次,傳統(tǒng)安全解決方案往往是單點式的,難以全面覆蓋小程序的防垃圾注冊、防盜號登錄、防撞庫攻擊、防虛假交易、防薅羊毛、防推廣作弊、防營銷欺詐、防身份造假等需求,容易存在可被黑產(chǎn)利用的漏洞。
正是由于這些問題,小程序仍然處于高風險安全區(qū)域。尤其隨著小程序市場的壯大,這一風險還可能會繼續(xù)擴散,部署專門為小程序安全防護開發(fā)的解決方案已經(jīng)刻不容緩。
<文章來源:互聯(lián)網(wǎng)>
p0