自带设备(BYOD)政策给世界企业数据安全带来压力与恐慌。大量的注意力集中在诸如网络管理，以及企业家缺乏工程设备之类的潜在安全这样的问题上。然而，移动领域内不良软件开发实践可能会企业安全造成更严重的威胁，比以往任何网络不善管理更甚。手机丢失或者被盗流失到不法分子手中可能会对公司造成严重的后果，而且这些全部是代码的原因。Research Into Internet Systems LLC（RIIS）公司的创始人，兼《Decompiling Java and Decompiling Android》的作者， Godfrey Nolan在AnDevCon会分享的这一信息。

你的机器是否充满漏洞？

事实上，黑客很容易就会利用Android应用程序，就如同绝地武士（Obi Wan Kenobi）那样的溜进死亡星球，摧毁Borg。而结果对于企业IT部门也将会一场灾难，一旦手机，甚至是企业软件的一小部分运行在不法分子手中的话。许多企业数据安全的首席安全官（CSO）会有这样的担心，这里有三个重点的、基于代码的、安全漏洞是Nolan在日常工作中遇到的：

通过使用简单的、现成的编译工作，黑客们对开发人员的源代码获得了完全的访问权。“人们可能没有意识到，黑客可以完全访问开发人员的代码，因为他们可以使用一些非常简单的反编译工具进行逆向工程，” Nolan说。APK(Android应用包文件)就只是在移动设备那里，等待着被逆向工程、被滥用。

组织并不能确保企业数据安全。即使设备设置了用户名和密码保护和加密。“用户名和密码常常是以纯文本的形式保存的，所以如果手机丢失，那么任何人都有权访问手机，可能会获得某人的数据，” Nolan说。

一些公司正在认真考虑对他们的后端系统、移动设备造成的威胁。“在我看来，移动设备是客户端/服务器端的应用—他们与后端进行沟通—如果他们通过API（应用程序编程接口）与用户名和密码进行沟通的话，那么多数情况是以纯文本形式记录的，” Nolan说。这给黑客直接访问服务器时创造的网关，而且这也是使CSO们泪奔的地方。一旦游手好闲的人进行了正确的登录，他们可以参与到所有的事情中，从大规模的数据和知识产权的偷盗到破坏和彻底销毁信息系统。

问题还可以严重到什么程度？Nolan描述了他的团队下载和测试了一些Android应用程序，发现只有一个是良好的，从安全角度来看。“我们下载了上百个不止的APK，我们完全不可以说只有一个是有良好保护的，而且其它的一些要么信息泄漏，那么当你逆向工程时只是纯文本可用，”他说。

移动应用开发人员可以一步一步查封这些安全漏洞。安置一个现成可用的治理结构是一个好的开始。“从治理模型开始，我们应该做的一件事是用严格审查代码的眼光去对待在服务器端代码，并将之运用于Android上，” Nolan说。围绕着代码质量和测试的治理模型一直以来都存在于服务器端，但是由于某些原因，移到领域的Java开发人员并不会遵循同一指导方针进行编码。

随着组织蜂涌而至移动领域，以及开发人员用户比以往更短的开发周期发布移动应用，不难发现许多常识性的实践会被淘汰。但是如果开发人员还是一味地用纯文本密码保护软件、用模糊的代码部署应用的话，安全漏洞和访问破坏的报告就会越来越多，而且Java领域的安全移动开发的声誉也会遭到破坏。采用常识性的开发实践不仅对Android开发市场好，这也是我们作为开发人员的一部分基本责任。