如果手機(jī)應(yīng)用開(kāi)發(fā)的時(shí)候出現(xiàn)疏漏就會(huì)造成Android 應(yīng)用的安全漏洞��,那么���,安卓應(yīng)用有哪些常見(jiàn)的安全漏洞呢?小編給大家綜合了以下幾個(gè)方面�����。
1. 應(yīng)用反編譯
漏洞:APK 包非常容易被反編譯成可讀文件�,稍加修改就能重新打包成新的 APK。
利用:軟件破解���,內(nèi)購(gòu)破解�����,軟件邏輯修改���,插入惡意代碼,替換廣告商 ID�。
建議:使用 ProGuard 等工具混淆代碼,重要邏輯用 NDK 實(shí)現(xiàn)�����。
例子:反編譯重打包 FlappyBird����,把廣告商 ID 換了�,游戲改加插一段惡意代碼等等。
2. 數(shù)據(jù)的存儲(chǔ)與傳輸
漏洞:外部存儲(chǔ)(SD 卡)上的文件沒(méi)有權(quán)限管理,所有應(yīng)用都可讀可寫(xiě)�。開(kāi)發(fā)者把敏感信息明文存在 SD 卡上,或者動(dòng)態(tài)加載的 payload 放在 SD
卡上�。
利用:竊取敏感信息,篡改配置文件��,修改 payload 邏輯并重打包�。
建議:不要把敏感信息放在外部存儲(chǔ)上面;在動(dòng)態(tài)加載外部資源的時(shí)候驗(yàn)證文件完整性。
漏洞:使用全局可讀寫(xiě)(MODE_WORLD_READABLE�,MODE_WORLD_WRITEABLE)的內(nèi)部存儲(chǔ)方式,或明文存儲(chǔ)敏感信息(用戶(hù)賬號(hào)密碼等)��。
利用:全局讀寫(xiě)敏感信息�,或 root 后讀取明文信息。
建議:不適用全局可讀寫(xiě)的內(nèi)部存儲(chǔ)方式����,不明文存儲(chǔ)用戶(hù)賬號(hào)密碼。
3. 密碼泄露
漏洞:密碼明文存儲(chǔ)��,傳輸���。
利用:root 后可讀寫(xiě)內(nèi)部存儲(chǔ)�。SD 卡全局可讀寫(xiě)���。公共 WiFi 抓包獲取賬號(hào)密碼���。
建議:實(shí)用成熟的加密方案�����。不要把密碼明文存儲(chǔ)在 SD 卡上����。
4. 組件暴露 (Activity, Service, Broadcast Receiver, Content Provider)
漏洞:組件在被調(diào)用時(shí)未做驗(yàn)證�。在調(diào)用其他組件時(shí)未做驗(yàn)證。
利用:調(diào)用暴露的組件���,達(dá)到某種效果�,獲取某些信息����,構(gòu)造某些數(shù)據(jù)。(比如:調(diào)用暴露的組件發(fā)短信�、微博等)。監(jiān)聽(tīng)暴露組件�,讀取數(shù)據(jù)。
建議:驗(yàn)證輸入信息��、驗(yàn)證組件調(diào)用等����。android:exported 設(shè)置為 false。使用
android:protectionLevel="signature" 驗(yàn)證調(diào)用來(lái)源��。
5. WebView
漏洞:惡意 App 可以注入 JavaScript 代碼進(jìn)入 WebView 中的網(wǎng)頁(yè)����,網(wǎng)頁(yè)未作驗(yàn)證。
惡意網(wǎng)頁(yè)可以執(zhí)行 JavaScript 反過(guò)來(lái)調(diào)用 App 中注冊(cè)過(guò)的方法�����,或者使用資源�����。
利用:惡意程序嵌入 Web App��,然后竊取用戶(hù)信息����。
惡意網(wǎng)頁(yè)遠(yuǎn)程調(diào)用 App 代碼。更有甚者�����,通過(guò) Java Reflection 調(diào)用 Runtime 執(zhí)行任意代碼。
建議:不使用 WebView 中的 setJavaScriptEnabled(true)����,或者使用時(shí)對(duì)輸入進(jìn)行驗(yàn)證。
6. 其他漏洞
ROOT 后的手機(jī)可以修改 App 的內(nèi)購(gòu)�,或者安裝外掛 App 等。
Logcat 泄露用戶(hù)敏感信息�。
惡意的廣告包。
利用 next Intent�����。
其實(shí)�����,Android 應(yīng)用的漏洞大部分都是因?yàn)殚_(kāi)發(fā)人員沒(méi)有對(duì)輸入信息做驗(yàn)證造成的�����,另外因?yàn)?Intent
這種特殊的機(jī)制�����,需要過(guò)濾外部的各種惡意行為。再加上 Android 應(yīng)用市場(chǎng)混亂��,開(kāi)發(fā)人員水平參差不齊��。所以現(xiàn)在 Android
應(yīng)用的漏洞����,惡意軟件����,釣魚(yú)等還在不斷增多。再加上 root 對(duì)于 App 沙箱的破壞��,Android 升級(jí)的限制��。國(guó)內(nèi)的 Android
環(huán)境一片混亂���,慘不忍睹����。所以���,佰佰安全網(wǎng)提醒大家如果想要保證你的應(yīng)用沒(méi)有安全漏洞��,就要記?��。河肋h(yuǎn)不要相信外面的世界���。
更多通訊安全小知識(shí),比如手機(jī)下載網(wǎng)絡(luò)資源需注意哪些危險(xiǎn)隱患�,歡迎繼續(xù)閱讀佰佰安全網(wǎng)。
責(zé)任編輯:鄒蘭
為更好的為公眾說(shuō)明安全知識(shí)的重要性,本站引用了部分來(lái)源于網(wǎng)絡(luò)的圖片插圖�,無(wú)任何商業(yè)性目的。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第六條“為介紹���、評(píng)論某一作品或者說(shuō)明某一問(wèn)題�,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定�。如果權(quán)利人認(rèn)為受到影響,請(qǐng)與我方聯(lián)系���,我方核實(shí)后立即刪除�����。
2081
