iOS应用超半数存信息泄露风险，API安全成防护短板

9月26日，安全研究机构发布最新调查结果显示，超过一半的iOS应用程序存在敏感信息泄露隐患，这一比例高于安卓平台应用，后者相关风险占比约为三分之一。随着移动应用日益成为企业服务的重要入口，其背后所依赖的API接口正成为网络攻击的重点目标，由此引发的数据外泄与网络欺诈问题愈发突出。

所谓API，即应用程序编程接口，是不同软件系统之间实现数据交换与功能调用的桥梁。然而当前大量移动应用在不可信设备上运行API端点并执行核心调用逻辑，导致应用容易遭受篡改或逆向分析。攻击者可借此手段截取通信流量、修改程序行为，使恶意请求伪装成合法调用，绕过常规安全检测机制。

传统的防护措施如防火墙、网关、代理验证及API密钥认证等方式，难以应对发生在应用内部的深层攻击。即便部分应用启用了SSL证书绑定技术以防范中间人攻击，仍存在明显短板。数据显示，近三成安卓金融类应用和约两成iOS旅行类应用仍可被成功渗透。

此外，许多应用在终端设备上对敏感数据的处理方式存在缺陷，包括将机密信息输出至调试日志、存储于外部存储空间或采用不安全的本地存储机制，大大增加了数据被非法获取的风险。

研究还发现，整体应用中有31%会向远程服务器传输个人可识别信息，而在排名前百的应用中，这一比例上升至37%，其中不少数据未采取加密传输。部分嵌入式SDK被发现存在隐蔽行为，例如未经授权上传用户数据、记录操作行为、收集地理位置信息并发送至第三方服务器。

上述现象表明，即便应用来自正规渠道，仍可能存在严重安全隐患，用户隐私与企业数据安全面临持续威胁。