這兩天微信小程序的熱度不減，狗哥的朋友圈已經被刷屏了，到處都在曬用了小程序以后刪了哪些APP(有小伙伴一臉壞笑地跟狗哥說，要把狗哥卸掉，狗哥傲嬌地表示，狗哥生活在服務器上，這樣是刪不掉的!)。

　　狗哥這兩天也試了一下，覺得有的時候也蠻方便，但是出于職業習慣，非常自然地想到了一個問題，微信的小程序足夠安全嗎?會不會有人通過小程序的某些漏洞，從我的賬戶里把錢轉走?

　　狗哥專門咨詢了我們的一些工程師，來聽聽他們怎么說吧!

　　小程序的機制上有漏洞嗎?

　　比較漏洞的風險首先要有一個合理的參照對象。

　　與小程序這個建立在微信這個大的系統上的前端表現形式相比，原先的APP由各方自行開發，各家代碼復雜程度不一，業務系統也有很大區別，所以在安全性上表現不一;小程序的開發則是由微信提供接口，只需要調用微信的接口就可以實現相應的功能。

　　這產生了兩個結果

　　1、原先針對APP的攻擊方法可能面臨失效;

　　2、微信的架構如果被發現漏洞，可能波及所有小程序。

　　以微信明星般的重量級產品的地位，騰訊在安全性能上是不易疏忽的，所以暫時可以放心。

　　所以一個合適的結論是，小程序相對于原來，安全性得到了較好的統一(而不是單純地提高或者下降)，由于微信在架構和安全上做得比較到位，所以盡管存在理論上的風險，但是依然是相對更安全的。

　　(不過狗哥還是忍不住暗搓搓地想，要是這幾天真的能發現一些問題就好了。并不是看熱鬧不嫌事兒大，而是問題越早發現，對于用戶和企業來講，未來的風險就越小)

　　理論上小程序的風險可能會在哪?

　　先科普一下微信小程序的架構，狗哥不是專業的，說錯了歡迎大家指出來哈。

　　先說結論，微信小程序是一種插件。

　　插件的特點是：基礎程序(微信)通過一些接口向插件(小程序)提供功能和服務。

　　而根據我們可愛的工程師大叔介紹，小程序在Android上和iOS上，分別使用X5內核接口和JS Core接口(雖然狗哥并沒有聽懂……)

　　經由接口，微信可以把一些服務提供給小程序，比如支付等等;如果有些功能沒有提供相應的接口，那么小程序就做不到這些事情。但是微信的架構可能存在某些漏洞，導致小程序能夠利用這些漏洞接觸到它本來不應該接觸到的信息，比如地理位置信息、零錢余額什么的，那么就存在一定的安全隱患。

　　理論上講，只是理論上!攻擊者可能做到這兩件事：

　　1、攻擊微信本身。如果微信的架構存在問題，小程序找到了突破執行環境的辦法，從而在微信主程序中獲得代碼執行，就成功制造了代碼執行的漏洞，進而可以，比如說，往朋友圈發一張你手機里不可描述內容的圖片。

　　2、攻擊其他的小程序。理論上也存在這樣的漏洞，導致一個小程序非法接觸到了其他小程序的數據，甚至獲得改動數據的權限。

　　不過上述兩種情況的攻擊力過于強大了，真實的攻擊多數來自于腳本，從技術上講不太可能這么厲害，能夠非法接觸到一些信息已經很不容易了，所以想想就好，不必太當真。

　　微信會怎么預防這些威脅?

　　就在小程序推出的當天，TSRC(騰訊安全應急響應中心)也發布了英雄帖《微信小程序如約而至，安全需要你的守護》，宣布即日起到2017年1月20日，“重金”收集有關微信小程序的漏洞和威脅情報。

　　作為主場，微信一定會審核每個想上線的小程序，以騰訊的技術實力，出簍子的可能性不高，起碼惡意的小程序是不會輕易上架的。

　　不過人算不如天算，就算提前審核再嚴格，有些惡意程序仍然有可能繞過監管�？蓯鄣墓こ處煷笫宓挠^點是，更安全的做法是為小程序專門建立一個沙盒環境，即使出了問題，依然是有限和可控的。

　　哎，不多說了，手機內存不夠了，狗哥要去刪APP了……