Approov 3.0：保护移动 API 的新解决方案

文章重点

• Approov 3.0 专注于保护 API 密钥，防止被盗用，并在需要时才进行 API 调用。
• 随著近期安全漏洞事件的增加，保护移动应用中的机密资讯变得至关重要。
• 移动应用开发者面临著财务损失和品牌声誉受损的风险。
• Approov 除了增强核心的移动应用认证功能之外，还新推出了保护 API 密钥的能力。

Approov 在周四宣布了其最新的版本 Approov 3.0，旨在保护 API 密钥，使它们仅在客户需要进行 API 调用时使用。Approov的首席执行官 David Stewart解释了近期的数据泄漏事件突显了偷窃的密钥和机密被骇客利用的风险。这些机密在静态和传输过程中未被有效保护，导致不法分子获取并利用它们来存取 API和应用程式。

Stewart 指出，移动应用普遍使用第三方 API使得问题更加复杂。若移动应用开发者被视为第三方应用泄漏或因分散式拒绝服务（DDoS）攻击而造成服务中断的根源，他们可能会面临财务损失和品牌受损的风险。

SC Media 与 Stewart 交谈，了解了公司的悠久历史，如何专注于移动 API，以及利用云技术更好地保护 API 密钥和机密的必要性。

Approov 的起源与演变

Approov 成立于 2001年，最初专注于深入检查和软体优化，技术、专利知识产权和专业知识均与深入的软体分析应用相关。过去，我们为客户提供了许多服务，大约十年前开始著手优化
Android代码。完成这些项目后，我们看到了将软体分析方法应用于创建一个安全端到端移动应用认证解决方案的机会。在那个时候，我们看到许多高增长市场领域的移动采用速度加快，却没有相匹配的安全解决方案。
Approov 移动应用保护解决方案于 2016 年底启动。

关注移动 API 的原因

2013 到 2014年，我们发现移动采用速度正迅速上升，但安全措施却未能跟上。更糟糕的是，存在盲点。虽然有移动应用安全解决方案全天候保护移动应用代码，还有传统的网络安全解决方案保护
API 端点，但在这两者之间的 API 却从未受到保护。我们目标是通过确保仅真实（经认证的）移动应用可以使用
API，来提供端到端的移动业务保护，这样可以在边缘屏蔽来自脚本和机器人的自动交通。由于如此，依赖移动应用与客户互动的企业可以将运营成本、诈骗成本及数据泄漏风险降至最低，同时不影响最终用户的体验。

移动 API 的作用

API 是软体之间的通信“粘合剂”。在移动环境中，这意味著在移动应用、运行该应用的设备以及后端伺服器或云服务之间的通道。很多人认为所有 API流量都可以被平等对待，但安全领域公认的概念是，情境才是关键。因此，若不理解和验证进行 API 请求的远端客户的性质，几乎无法区分真实的 API请求和自动模仿的请求。移动情况特别，因为任何人都可以下载和分析移动应