小程序安全涉及安全检测、威胁情报、安全加固等方面。有调查显示30%的小程序会有不同程度的信息泄露。
小程序安全(Mobile Mini Program Security,MMPS)功能需要为用户提供全生命周期的一站式安全解决方案,包括应用程序安全、身份认证与授权、数据存储安全、第三方组件安全等。
1)渗透测试:通过模拟攻击者的攻击手法,及对小程序的代码和配置文件进行分析,识别出可能存在的安全漏洞(例如代码注入、数据泄露、逆向破解等)。
2)用户身份认证:对微信小程序的用户身份认证进行评估和安全加固,确保用户身份的真实性和安全性。除了用户OpenID外,我们还可以将小程序的UUID作为设备指纹,确保请求来自合法的小程序。
3)恶意行为检测:除了小程序自身的安全,我们还要注意个人隐私保护。有些不良商家通过在小程序中设置“可登录授权”的方式,让用户授权以此来获取手机号、位置等信息,进而对用户权益进行侵犯。
国内的小程序安全厂商腾讯当仁不让,提供小程序隐私合规、安全诊断、安全加固和小程序安全扫描等功能。
其他的如凡泰极客的FinClip,它的核心是一个多终端安全运行沙盒,可以嵌入任何iOS/Android应用程序、Windows/MacOS/Linux桌面软件、Android/Linux操作系统以及IoT/车载系统。