首先,说到APP的安全漏洞,如果抛开安卓自身开源的问题的话,其主要产生的原因就是开发过程中疏忽或者代码不严谨引起的。但这些责任也不能怪在程序猿头上,有时会因为BOSS时间催得紧等很多可观原因。那么,手机app常见的漏洞有哪些呢? 1.应用反编译 漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重新打包成新的 APK。 利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。 建议:使用 ProGuard 等工具混淆代码,重要逻辑用 NDK 实现。 例子:反编译重打包 FlappyBird,把广告商 ID 换了,游戏改加插一段恶意代码等等。 2.数据的存储与传输 漏洞:外部存储(SD 卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在 SD 卡上,或者动态加载的 payload 放在 SD 卡上。 利用:窃取敏感信息,篡改配置文件,修改 payload 逻辑并重打包。 建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。 漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。 利用:全局读写敏感信息,或 root 后读取明文信息。 建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。 3.密码泄露 漏洞:密码明文存储,传输。 利用: root 后可读写内部存储。 SD 卡全局可读写。 公共 WiFi 抓包获取账号密码。 建议:实用成熟的加密方案。不要把密码明文存储在 SD 卡上。 4.组件暴露(Activity, Service, Broadcast Receiver, Content Provider) 漏洞: 组件在被调用时未做验证。 在调用其他组件时未做验证。 利用: 调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。 监听暴露组件,读取数据。 建议:验证输入信息、验证组件调用等。android:exported 设置为 false。使用 android:protectionLevel="signature" 验证调用来源。 5. WebView 漏洞: 恶意 App 可以注入 JavaScript 代码进入 WebView 中的网页,网页未作验证。 恶意网页可以执行 JavaScript 反过来调用 App 中注册过的方法,或者使用资源。 利用: 恶意程序嵌入 Web App,然后窃取用户信息。 恶意网页远程调用 App 代码。更有甚者,通过 Java Reflection 调用 Runtime 执行任意代码。 建议:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用时对输入进行验证。 6.其他漏洞 ROOT 后的手机可以修改 App 的内购,或者安装外挂 App 等。 Logcat 泄露用户敏感信息。 恶意的广告包。 利用 next Intent。 7.总结 APP的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为 Intent 这种特殊的机制,需要过滤外部的各种恶意行为。再加上安卓应用市场混乱,开发人员水平参差不齐。所以现在 Android 应用的漏洞,恶意软件,钓鱼等还在不断增多。 再加上 root 对于 App 沙箱的破坏,Android 升级的限制。国内的安卓环境一片混乱,惨不忍睹。所以,漂亮女人街提醒大家如果想要保证你的应用没有安全漏洞,就要记住:永远不要相信外面的世界。 更多通讯安全小知识,比如手机下载网络资源需注意哪些危险隐患,欢迎继续阅读漂亮女人街。 |
"小编整理不易,小礼物走一走,万分感谢!"
赞赏
真诚赞赏,手留余香
相关资讯
- 正确自慰,处女膜会不会破裂呢?
- 对于女性来说,由于对性的不了解,对自慰的不了解,所以潜意识里认为自慰是不好的事情,是损害身体健康的事情。甚至,也有一些女性认为自慰会导致处女膜破裂。坦然面对自慰吧其实,每个人大可坦荡荡地面对 自慰 这件事。
- 怎么治疗莴苣霜霉病
- 长江中下游地区莴苣霜霉病的主要发病盛期在春季3~5月和秋季10~11月。在武汉地区,每年4月和11月发病较多。年度间早春低温多雨、日夜温差大的年份发病重;秋季多雨、多雾的年份发病重。田块间连作地、地势低洼、排
- 空调病是冷风还是暖风所致
- 在冬天或是夏季,人们都会开空调,因此就会产生了空调病,那么空调病是冷风还是暖风所致呢?接下来我们漂亮女人街的小编为您具体介绍一下。长时间在空调环境下工作学习的人,因空间相对密闭,空气不流通,致病微生物
- 企业该如何做好女职工的四期保护
- 当前有不少企业单位负责人对妇女的生理特点认识不够,对妇女生养子女承担人类自身再生产的社会责任缺乏正确认识,有的甚至将女职工的这些问题看成是单位的负担,从而严重地损害了妇女的利益。下面小编为大家介绍一下
- 什么是署名权
- 作者在其创作的作品上署名,是天经地义的事,这也是作者用辛苦和努力得来的应有的权利和利益,那么,什么是署名权呢?怎样运用法律正确保护作者的著作权呢?今天我们就跟随漂亮女人街一起来了解关于这方面的名誉维权
- 中国十大最美草原
- 草原是地球生态系统的一种,分为热带草原、温带草原等多种类型,是地球上分布最广的植被类型,现在草原的旅游价值越来越高,下面漂亮女人街来给大家介绍下中国十大最美草原。1、呼伦贝尔草原呼伦贝尔草原位于内蒙古