系統(tǒng)漏洞是普遍存在的，但是您聽說過安卓系統(tǒng)漏洞嗎?安卓系統(tǒng)漏洞有哪些?了解網(wǎng)絡(luò)安全常識，首先就要了解計算機網(wǎng)絡(luò)安全有哪些基本注意事項，下面佰佰安全網(wǎng)小編就帶您認(rèn)識一下吧。

1. 應(yīng)用反編譯漏洞：APK 包非常容易被反編譯成可讀文件，稍加修改就能重新打包成新的 APK。利用：軟件破解，內(nèi)購破解，軟件邏輯修改，插入惡意代碼，替換廣告商 ID。建議：使用 ProGuard 等工具混淆代碼，重要邏輯用 NDK 實現(xiàn)。例子：反編譯重打包 FlappyBird，把廣告商 ID 換了，游戲改加插一段惡意代碼等等。

2. 數(shù)據(jù)的存儲與傳輸漏洞：外部存儲(SD 卡)上的文件沒有權(quán)限管理，所有應(yīng)用都可讀可寫。開發(fā)者把敏感信息明文存在 SD 卡上，或者動態(tài)加載的 payload 放在 SD 卡上。利用：竊取敏感信息，篡改配置文件，修改 payload 邏輯并重打包。建議：不要把敏感信息放在外部存儲上面;在動態(tài)加載外部資源的時候驗證文件完整性。漏洞：使用全局可讀寫(MODE_WORLD_READABLE，MODE_WORLD_WRITEABLE)的內(nèi)部存儲方式，或明文存儲敏感信息(用戶賬號密碼等)。利用：全局讀寫敏感信息，或 root 后讀取明文信息。建議：不適用全局可讀寫的內(nèi)部存儲方式，不明文存儲用戶賬號密碼。

3. 密碼泄露漏洞：密碼明文存儲，傳輸。利用： root 后可讀寫內(nèi)部存儲。SD 卡全局可讀寫。公共 WiFi 抓包獲取賬號密碼。建議：實用成熟的加密方案。不要把密碼明文存儲在 SD 卡上。

4. 組件暴露 (Activity, Service, Broadcast Receiver, Content Provider)漏洞：組件在被調(diào)用時未做驗證。在調(diào)用其他組件時未做驗證。利用：調(diào)用暴露的組件，達到某種效果，獲取某些信息，構(gòu)造某些數(shù)據(jù)。(比如：調(diào)用暴露的組件發(fā)短信、微博等)。監(jiān)聽暴露組件，讀取數(shù)據(jù)。建議：驗證輸入信息、驗證組件調(diào)用等。android:exported 設(shè)置為 false。使用 android:protectionLevel="signature" 驗證調(diào)用來源。

5. WebView漏洞：惡意 App 可以注入 JavaScript 代碼進入 WebView 中的網(wǎng)頁，網(wǎng)頁未作驗證。惡意網(wǎng)頁可以執(zhí)行 JavaScript 反過來調(diào)用 App 中注冊過的方法，或者使用資源。利用：惡意程序嵌入 Web App，然后竊取用戶信息。惡意網(wǎng)頁遠程調(diào)用 App 代碼。更有甚者，通過 Java Reflection 調(diào)用 Runtime 執(zhí)行任意代碼。建議：不使用 WebView 中的 setJavaScriptEnabled(true)，或者使用時對輸入進行驗證。

6. 其他漏洞ROOT 后的手機可以修改 App 的內(nèi)購，或者安裝外掛 App 等。Logcat 泄露用戶敏感信息。惡意的廣告包。利用 next Intent。

關(guān)于網(wǎng)絡(luò)安全小知識，佰佰安全網(wǎng)小編為您介紹和普及這么多了，看完上面的介紹，您對“安卓系統(tǒng)漏洞有哪些”這個問題了解多少了呢?綜上我們可以了解到，安卓系統(tǒng)漏洞的存在會影響到手機甚至是電腦的使用效果，所以一定要盡快修復(fù)才行。

責(zé)任編輯:慕丹萍