飘云阁(PYG官方论坛)

 找回密码
 加入论坛

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1366|回复: 13

[Android] 转载分享:Android 应用有哪些常见,浅谈常被利用的安全漏洞?

  [复制链接]
  • TA的每日心情
    无聊
    2019-3-15 11:50
  • 签到天数: 197 天

    [LV.7]常住居民III

    发表于 2015-6-25 15:17:50 | 显示全部楼层 |阅读模式
    本帖最后由 恶魔的眼泪 于 2015-6-25 15:20 编辑

    首先,题主询问“Android 应用”的安全漏洞,说到 Android 应用的安全漏洞,如果抛开系统设计问题,其主要原因是开发过程当中疏漏引起的。但其实也并不能把这些责任都怪在程序猿头上。所以本答案也将会对 Android 系统设计以及生态环境做一些阐述。(如果想了解 Android 恶意软件的情况,那就需要另开题目了。)

    1. 应用反编译
    漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重新打包成新的 APK。
    利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。
    建议:使用 ProGuard 等工具混淆代码,重要逻辑用 NDK 实现。
    例子:反编译重打包 FlappyBird,把广告商 ID 换了,游戏改加插一段恶意代码等等。

    2. 数据的存储与传输
    漏洞:外部存储(SD 卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在 SD 卡上,或者动态加载的 payload 放在 SD 卡上。
    利用:窃取敏感信息,篡改配置文件,修改 payload 逻辑并重打包。
    建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。

    漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。
    利用:全局读写敏感信息,或 root 后读取明文信息。
    建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。

    3. 密码泄露
    漏洞:密码明文存储,传输。
    利用

    • root 后可读写内部存储。
    • SD 卡全局可读写。
    • 公共 WiFi 抓包获取账号密码。
    建议:实用成熟的加密方案。不要把密码明文存储在 SD 卡上。

    4. 组件暴露 (Activity, Service, Broadcast Receiver, Content Provider)
    漏洞

    • 组件在被调用时未做验证。
    • 在调用其他组件时未做验证。
    利用

    • 调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。
    • 监听暴露组件,读取数据。
    建议:验证输入信息、验证组件调用等。android:exported 设置为 false。使用 android:protectionLevel="signature" 验证调用来源。

    5. WebView
    漏洞

    • 恶意 App 可以注入 JavaScript 代码进入 WebView 中的网页,网页未作验证。
    • 恶意网页可以执行 JavaScript 反过来调用 App 中注册过的方法,或者使用资源。
    利用

    • 恶意程序嵌入 Web App,然后窃取用户信息。
    • 恶意网页远程调用 App 代码。更有甚者,通过 Java Reflection 调用 Runtime 执行任意代码。
    建议:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用时对输入进行验证。

    6. 其他漏洞

    • ROOT 后的手机可以修改 App 的内购,或者安装外挂 App 等。
    • Logcat 泄露用户敏感信息。
    • 恶意的广告包。
    • 利用 next Intent。
    7. 总结
    Android 应用的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为 Intent 这种特殊的机制,需要过滤外部的各种恶意行为。再加上 Android 应用市场混乱,开发人员水平参差不齐。所以现在 Android 应用的漏洞,恶意软件,钓鱼等还在不断增多。

    再加上 root 对于 App 沙箱的破坏,Android 升级的限制。国内的 Android 环境一片混乱,惨不忍睹。所以,如果想要保证你的应用没有安全漏洞,就要记住:永远不要相信外面的世界。
    最后推荐:爱加密漏洞检测(http://safe.ijiami.cn/) 服务可以一键找出APP潜在的漏洞和恶意软件存在的病毒;针对应用被劫持,爱加密提供多种加密项目和加密方式,解决进程和数据传输过程中可能存在的劫持风险。

    转自:http://www.mamicode.com/info-detail-881913.html



    评分

    参与人数 1威望 +4 收起 理由
    一梦千年缘 + 4 赞一个!

    查看全部评分

  • TA的每日心情
    开心
    昨天 10:15
  • 签到天数: 1346 天

    [LV.10]以坛为家III

    发表于 2015-6-25 15:37:38 | 显示全部楼层
    谢谢分享,了解下
  • TA的每日心情
    无聊
    2019-3-15 11:50
  • 签到天数: 197 天

    [LV.7]常住居民III

     楼主| 发表于 2015-6-25 16:18:29 | 显示全部楼层
    hu007 发表于 2015-6-25 15:37
    谢谢分享,了解下

    O(∩_∩)O谢谢支持,
  • TA的每日心情
    开心
    2019-5-12 09:30
  • 签到天数: 281 天

    [LV.8]以坛为家I

    发表于 2015-6-25 22:11:36 | 显示全部楼层
    感谢分享,长知识了
  • TA的每日心情
    无聊
    2019-3-15 11:50
  • 签到天数: 197 天

    [LV.7]常住居民III

     楼主| 发表于 2015-6-26 07:34:26 | 显示全部楼层
    一梦千年缘 发表于 2015-6-25 22:11
    感谢分享,长知识了

    O(∩_∩)O谢谢支持!!
  • TA的每日心情
    奋斗
    2017-3-10 20:59
  • 签到天数: 243 天

    [LV.8]以坛为家I

    发表于 2015-6-26 12:39:46 | 显示全部楼层
    了解学习一下了,感谢
  • TA的每日心情
    无聊
    2019-3-15 11:50
  • 签到天数: 197 天

    [LV.7]常住居民III

     楼主| 发表于 2015-6-26 14:56:29 | 显示全部楼层
    开心啦 发表于 2015-6-26 12:39
    了解学习一下了,感谢

    O(∩_∩)O谢谢!{:soso_e113:}
  • TA的每日心情
    开心
    2018-5-3 21:43
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2018-5-2 13:09:40 | 显示全部楼层
    感谢楼主分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-7-8 18:19
  • 签到天数: 46 天

    [LV.5]常住居民I

    发表于 2018-5-24 08:20:15 | 显示全部楼层
    多谢分享,了解一下
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 加入论坛

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表