大公司大平臺的可信度略高一點，關鍵大平臺的風控和准入標準也高，不過還是那句老話投資有風險，選對平臺最重要。

目前來說大公司的平臺都是安全的，因為公司已經達到了一定的規模，有相對較好的盈利模式！能夠長久穩定的發展下去！一些剛出來的APP充滿了不確定性，如果有好的模式，也會充滿了機會！

先給結論:

1.使用最新的SSL協議現在是TLS1.2伺服器和App都強制使用最新的. 我沒記錯的話是IOS 5和Android 4.4以上就支援TLS1.2.

2.不連線證書通不過驗證的伺服器. (iOS和Android都有這樣的異常處理)

3.對連結的證書進行域名驗證。

下面是原理:

1. 首先使用最新的協議，協議的更新就是為了補漏洞，這個沒啥好說的。

2. SSL在連結的時候只會和受信任的證書鏈伺服器通訊，所以伺服器必須擁有幾個大公司(比如versign等)證書和私鑰.

3. 當App只可能和授信的證書伺服器連結時，如果出現中間人用一個其他授信證書和我們的APP連結，那這個時候這個證書必然是其他的一個域名，所以我們在程式碼裡面比較一下這個證書的域名是否是和我想要訪問的域名一致就可以了。

還存在的風險:

1. 駭客攻破了我們的伺服器拿到了我們的SSL證書和私鑰，並且仿冒的域名。那這個時候就不只是通訊的風險了。

2. 駭客把App執行在一個Android 網路Framework 被替換的Android 機器上，這個使用者不要刷外面的Room自己對自己安全。

對於本地儲存的問題也是我們平時遇到比較多的問題，我的理解是沒有完美方案，只能儘量提高破解的門檻.

對本地資料進行加密最大的問題是你的Key存在哪，如果程式必須線上使用還好可以用伺服器幫忙。如果你的App需要離線使用，那你的加密Key

必須在本地，存在iOS的KeyChian和Android安全區雖然是加密的但是被Root和越獄的機器還是會被破解，建議是一部分分Key分散到各個地方，一部分直接用

演算法生存，加上程式碼混淆，會大大提高破解Key的難度。

最後的建議安全性高的資料儘量存伺服器，手機不是我們能掌控的，實在要存根據資訊的重要性增加破解的難度。

裝置是不可控的，特別是Android. 如果是稍微有點水平的駭客肯定是使用自己編譯的Room, 替換底層Framework的程式碼，這樣你所有的檢測都是無效的。我的理解安全的問題主要是策略，敏感資料儘量不要儲存在App端，伺服器要施加各種檢測策略來抵禦攻擊，靠App端檢測是不行的，他破解你的App過後完全可以不用你的App直接寫腳。

總體來講是安全的，大公司的相對更加安全。因為準入標準也高有較好的盈利效果，也具備一定的規模但我還是建議在手機應用商店下載。如果在使用當中發現問題及時解除和手機的繫結，解除安裝為好。