今年5月，谷歌在I/O大會上宣布，Kotlin編程語言成為其Android應用程序開發人員的首選語言。

Kotlin是一種面向現代多平臺應用程序的編程語言，成為谷歌開發Android應用程序的首選語言后，許多開發人員逐漸地從Java轉向Kotlin。根據最新的一項調查顯示，有62%的開發人員使用Kotlin來構建移動應用程序，另有41%的開發人員使用Kotlin來構建Web后端項目。

而隨著Kotlin的出現，越來越多的知名組織愈加重視移動應用程序的安全性。最近由DHS與NIST聯合的一項關于移動設備安全研究發現，應用程序中的漏洞通常是沒有遵循安全編碼引起，這些漏洞會對用戶的數據造成某種危害。

對于使用Kotlin開發人員來說，熟悉這門語言并了解移動應用程序的安全編碼是非常重要的。以下是在使用Kotlin時遇到的一些常見漏洞：

不安全數據存儲

Android生態系統為應用程序提供了幾種存儲數據的方法。開發人員使用的存儲類型取決于幾點：存儲的數據類型、數據的使用以及數據是否應該保持私有或與其他應用程序共享。

而常見的編碼錯誤是以明文存儲敏感信息。例如，經常在應用程序使用的“Shared Preference”或數據庫查找API密碼、密碼和PII(Personally Identifiable Information)，由于攻擊者能夠訪問應用程序的數據庫(根設備、應用程序的備份等)，從而檢索使用該應用的其他用戶的憑據，這類疏忽越來越多地導致重要數據丟失。

不安全通信

目前，大多數移動應用程序在某種程度上以client-server的方式交換數據，當進行通信時，用戶數據就會在移動運營商網絡、或者某些WiFi網絡和互聯網之間進行傳輸。正是這個過程，攻擊者就能利用其中的某個弱環節發起攻擊。如果數據傳輸沒有使用SSL/TLS加密，則攻擊者不僅能夠監視以明文傳輸的通信數據，而且還能夠竊取交換的數據并執行中間人攻擊。

為了防止不安全的通信，必須始終把網絡層認為是不安全的，并不斷確保移動程序和后端服務器之間的所有通信都是加密的。

不安全認證

移動設備中的輸入機制，例如4-PIN碼或者基于TouchID等特性的身份驗證，都會導致移動應用程序的身份驗證不安全且容易遭受攻擊。

除非有功能需求，否則移動應用程序不需要對其進行實時身份驗證的后端服務器。即使存在這樣的后端服務器，用戶通常也不需要在任何時候都處于聯機狀態。這給移動應用的身份驗證帶來了巨大的挑戰，每當在本機進行身份驗證時，就可以通過運行時操作或修改二進制文件來繞過已越獄設備上的身份驗證。

不安全的身份驗證不僅僅是猜出密碼、默認用戶帳戶或破壞數據。有時，可以繞過身份驗證機制，系統無法識別用戶并記錄其(惡意)行為。

代碼篡改

所謂的代碼篡改指的是：在設備上下載一個應用程序后，該應用的代碼和數據是存于該設備的。由于大多數應用程序是公共的，這導致攻擊可以進行修改代碼、操作內存內容、更改或替換系統API或者修改應用程序的數據和資源。

為了防止代碼篡改，重要的是移動應用程序能夠在運行時檢測到代碼已被添加或更改。開發團隊應該做出相應的行動，向服務器報告代碼沖突或者執行關機。

魔高一尺，道高一丈。技術總是不斷發展，未來仍會暴露出新的應用程序安全性漏洞，通過警惕一些編碼錯誤，開發人員可以構建更安全的Android應用，避免掉入陷阱。

利用技術總是在不斷發展;未來可能會基于可能暴露新的應用程序篡改點的依賴關系發現新的漏洞。通過了解這些編碼錯誤，開發人員可以構建更安全的Android應用程序，并躲開可能導致這些情況的陷阱。