安全研究表明，超过半数的 iOS 应用存在泄露敏感数据的风险，比例高于安卓应用。移动应用已成为 API 攻击的主要目标，可能导致严重的企业数据泄露和欺诈。攻击者可以通过拦截流量、篡改应用或利用应用内部漏洞来绕过传统的安全防护措施。即使是 SSL 证书绑定也无法完全阻止此类攻击。此外，许多应用在设备端处理敏感数据时存在安全隐患，如控制台日志记录、不安全存储等，使得数据更容易被窃取。部分应用还会将个人身份信息传输到远程服务器，其中不少未加密，甚至有嵌入的 SDK 会秘密外传用户数据和位置信息，显示出官方商店应用也可能存在严重安全风险。

🛡️ **iOS 应用数据泄露风险普遍存在**：研究发现，超过半数的 iOS 应用存在泄露敏感数据的风险，这一比例高于安卓应用（约三分之一）。移动应用已成为 API 攻击的主要战场，给企业带来了严重的数据泄露和欺诈风险。

💥 **传统安全防护措施失效**：攻击者能够通过拦截流量、修改应用逻辑或利用应用内部漏洞来绕过防火墙、网关、API 密钥验证等传统安全防护手段。即使是 SSL 证书绑定（SSL Pinning）也无法完全阻止中间人攻击，部分金融和旅行类应用仍存在被攻击的可能。

🗄️ **设备端数据处理安全隐患**：许多应用在设备端处理敏感数据时存在安全问题，例如通过控制台日志记录、存储在外部存储或不安全的本地存储中，这使得敏感数据更容易被恶意方获取。此外，部分应用会将个人可识别信息传输到远程服务器，其中不少未加密，甚至嵌入的 SDK 会秘密外传用户数据和位置信息。

IT之家 9 月 26 日消息，安全公司 Zimperium 最新研究发现，超过半数 iOS 应用存在泄露敏感数据风险，比例高于安卓应用（约三分之一）。移动应用已成为 API 攻击的主要战场，带来严重的企业数据泄露与欺诈风险。

IT之家注：API 全称为 Application Programming Interface，就像不同系统间的“通信协议”，是软件之间用来交换数据和指令的接口。

研究指出，移动应用在不可信设备上运行 API 端点和调用逻辑，易被篡改或反向工程。攻击者可拦截流量、修改应用，并让恶意 API 调用看似合法。防火墙、网关、代理和 API 密钥验证等传统防护手段，无法有效阻止发生在应用内部的攻击。

即便采用 SSL 证书绑定（SSL Pinning）防御中间人攻击，仍存在漏洞。近三分之一的安卓金融类应用和五分之一的 iOS 旅行类应用仍可被攻击。此外，许多应用在设备端错误处理敏感数据，存在控制台日志记录、外部存储和不安全的本地存储等问题，使数据更易被获取。

报告还发现，31% 的全部应用及 37% 的 TOP100 应用会将个人可识别信息传输到远程服务器，其中不少未加密。一些嵌入的 SDK 甚至会秘密外传数据、记录用户操作、捕获 GPS 位置并发送至外部服务器。这表明，即便是官方商店的应用，也可能存在严重安全风险。