这两天微信小程序的热度不减,狗哥的朋友圈已经被刷屏了,到处都在晒用了小程序以后删了哪些APP(有小伙伴一脸坏笑地跟狗哥说,要把狗哥卸掉,狗哥傲娇地表示,狗哥生活在服务器上,这样是删不掉的!)。
狗哥这两天也试了一下,觉得有的时候也蛮方便,但是出于职业习惯,非常自然地想到了一个问题,微信的小程序足够安全吗?会不会有人通过小程序的某些漏洞,从我的账户里把钱转走?
狗哥专门咨询了我们的一些工程师,来听听他们怎么说吧!
小程序的机制上有漏洞吗?
比较漏洞的风险首先要有一个合理的参照对象。
与小程序这个建立在微信这个大的系统上的前端表现形式相比,原先的APP由各方自行开发,各家代码复杂程度不一,业务系统也有很大区别,所以在安全性上表现不一;小程序的开发则是由微信提供接口,只需要调用微信的接口就可以实现相应的功能。
这产生了两个结果
1、原先针对APP的攻击方法可能面临失效;
2、微信的架构如果被发现漏洞,可能波及所有小程序。
以微信明星般的重量级产品的地位,腾讯在安全性能上是不易疏忽的,所以暂时可以放心。
所以一个合适的结论是,小程序相对于原来,安全性得到了较好的统一(而不是单纯地提高或者下降),由于微信在架构和安全上做得比较到位,所以尽管存在理论上的风险,但是依然是相对更安全的。
(不过狗哥还是忍不住暗搓搓地想,要是这几天真的能发现一些问题就好了。并不是看热闹不嫌事儿大,而是问题越早发现,对于用户和企业来讲,未来的风险就越小)
理论上小程序的风险可能会在哪?
先科普一下微信小程序的架构,狗哥不是专业的,说错了欢迎大家指出来哈。
先说结论,微信小程序是一种插件。
插件的特点是:基础程序(微信)通过一些接口向插件(小程序)提供功能和服务。
而根据我们可爱的工程师大叔介绍,小程序在Android上和iOS上,分别使用X5内核接口和JS Core接口(虽然狗哥并没有听懂……)
经由接口,微信可以把一些服务提供给小程序,比如支付等等;如果有些功能没有提供相应的接口,那么小程序就做不到这些事情。但是微信的架构可能存在某些漏洞,导致小程序能够利用这些漏洞接触到它本来不应该接触到的信息,比如地理位置信息、零钱余额什么的,那么就存在一定的安全隐患。
理论上讲,只是理论上!攻击者可能做到这两件事:
1、攻击微信本身。如果微信的架构存在问题,小程序找到了突破执行环境的办法,从而在微信主程序中获得代码执行,就成功制造了代码执行的漏洞,进而可以,比如说,往朋友圈发一张你手机里不可描述内容的图片。
2、攻击其他的小程序。理论上也存在这样的漏洞,导致一个小程序非法接触到了其他小程序的数据,甚至获得改动数据的权限。
不过上述两种情况的攻击力过于强大了,真实的攻击多数来自于脚本,从技术上讲不太可能这么厉害,能够非法接触到一些信息已经很不容易了,所以想想就好,不必太当真。
微信会怎么预防这些威胁?
就在小程序推出的当天,TSRC(腾讯安全应急响应中心)也发布了英雄帖《微信小程序如约而至,安全需要你的守护》,宣布即日起到2017年1月20日,“重金”收集有关微信小程序的漏洞和威胁情报。
作为主场,微信一定会审核每个想上线的小程序,以腾讯的技术实力,出篓子的可能性不高,起码恶意的小程序是不会轻易上架的。
不过人算不如天算,就算提前审核再严格,有些恶意程序仍然有可能绕过监管。可爱的工程师大叔的观点是,更安全的做法是为小程序专门建立一个沙盒环境,即使出了问题,依然是有限和可控的。
哎,不多说了,手机内存不够了,狗哥要去删APP了……
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
近日,绝味鸭脖以 "19 岁,绝美青春 " 为周年庆主题,推出了全新 " 爆耐撕绝绝脂大刀肉片 ",并策划一系列精彩活动,旨在为消费者带来前所未有的味蕾惊喜和快乐体验。
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。