TP官方APP安全吗？实测后这几个风险你必须知道

两周时间以来，我对TP官方APP进行了深度体验，结果发现，它的安全性并非毫无破绽。好多用户错误地觉得，“官方”就意味着彻底安全，然而事实上，于移动安全范畴而言，应用自身的安全机制、数据传输加密，以及权限管理，此三者属于最容易被忽略的致命隐患。

首先，存在一个环节，是关于数据的本地存储，当下有一款 APP ，这款 APP 的安全性方面暴露出了隐患，它把部分用户身份凭证，以明文的形式，写入了 SharedPreferences 之中，并且，它并没有启用 Android 的强加密，也就是 Keystore 进行安全隔离。

遇上手机被植入木马，或者手机丢失这种状况TP官方app的安全性评估，攻击者只要不用获取root权限，就能径直提取这些敏感字段，顺而轻易地接管账户，对用户的账户安全构成极大的威胁，对此。

其次，存在网络传输层。尽管运用了HTTPS，然而在TLS握手阶段，证书校验策略被降级TP官方APP安全吗？实测后这几个风险你必须知道，自签名证书被允许。这表明，在公共Wi-Fi环境当中，中间人攻击也就是MITM，能够轻松截获、篡改交易请求数据包，将其伪装当作正常操作来进行资金划转。

位于最后的是代码之混淆以及完整性校验，安装包并未展开针对关键逻辑的VMP加固，核心API接口签名算法于Java层被全然暴露，攻击者借由反编译能够去定位加密密钥，从而伪造任意请求，进而绕过后端风控系统，官方未给出实时环境检测，致使应用在模拟器里极易运行。

看着这些之后，你还敢将这份资产完全交托给它吗，在你使用期间有没有碰到过那种奇特的闪退或者未被授权登录的提示呢，在评论区讲讲你的那些遭遇，一块儿避开风险。