微信小程序已达百万 三大风险不容忽视
由于无需下载、用完即走、资源消耗少等优势,越来越多的用户开始通过小程序来玩游戏、订餐、网购…..这让小程序的用户规模呈现出爆发式的增长。《2018年小程序生态进化报告》显示,截止到2018年6月,小程序累计用户数已突破100万,累计用户量更是达到6亿。。
对于应用的开发商与运营商来说,小程序不仅带来了来自微信平台的流量入口,而且由于微信把很多功能集成在小程序的底层架构里,因此开发与运营的成本得到降低、效率也实现了提升。受益于此,小程序的规模近年来快速增长,数据显示,目前微信小程序总量达100万,2018年年底预计将达到300万,游戏、电商、O2O、工具内容、企业协同办公等种类的小程序更是成为产业热点。
小程序的生态在不断繁荣的同时,也让应用的开发商会对其安全性产生担忧,毕竟很多开发商已经将重要的业务、数据同步到小程序之中,一旦出现安全问题,将可能造成运营、品牌等方面的重大损失。
专家分析称,从安全架构上来说,微信小程序拥有不允许跳转到外部网站、不允许相互跳转等安全设计,因此小程序在规避跨站脚本等风险方面具备天然优势,但这并不表示其在安全方面就无懈可击。
事实上,由于小程序在本质上是Web应用,在应用开发方式、功能交互、应用交付流程等方面与普通应用并没有什么根本差异,因此并不能避免传统的应用安全问题。如果应用开发商没有将安全防护能力覆盖到小程序,有可能致使其成为黑产入侵的突破口。
具体来说,小程序所面临的业务安全风险包括:
● 薅羊毛:很多电商类客户会在小程序上进行红包、优惠券等形式的营销,黑产一样可以通过虚假注册、恶意下单等方式来“薅羊毛”,这会让客户的营销引流效果大打折扣,50%-80%的营销资金都可能会因此而浪费。
● 山寨仿冒:微信小程序通过唯一的 Appid 来识别身份,如果不法分子通过逆向等方式来窃取核心代码,仿冒伪造小程序,且使用不同的 Appid ,有可能绕过微信的审核流程进行发布,这会给小程序开发商的业务带来风险。
● 数据被恶意爬取:微信小程序存在的接口数据泄露等隐患,容易带来信息爬取风险,如果核心数据被爬取并挪作他用,不仅会带来显著的经济损失,更会降低竞争优势。
虽然微信小程序存在着难以忽视的安全风险,但是很多小程序开发商表示,市场上缺乏专门优化的安全解决方案,导致自己的安全问题上一筹莫展。
首先,传统安全解决方案并非针对小程序所设计,因此往往会出现适配性的问题,小程序的开发商往往需要将大量精力耗费在与安全服务的兼容、调优方面,而且还有可能会影响小程序的持续运营。
其次,传统安全解决方案往往是单点式的,难以全面覆盖小程序的防垃圾注册、防盗号登录、防撞库攻击、防虚假交易、防薅羊毛、防推广作弊、防营销欺诈、防身份造假等需求,容易存在可被黑产利用的漏洞。
正是由于这些问题,小程序仍然处于高风险安全区域。尤其随着小程序市场的壮大,这一风险还可能会继续扩散,部署专门为小程序安全防护开发的解决方案已经刻不容缓。