目前，Android應(yīng)用程序市場(chǎng)的發(fā)展速度飛快，不少開(kāi)發(fā)者為了追求開(kāi)發(fā)速度而忽視應(yīng)用程序的安全。但由于Android系統(tǒng)的開(kāi)源性及其Java編寫的特殊性，各類Android App經(jīng)常被爆出漏洞，有的Android開(kāi)發(fā)者只是對(duì)App進(jìn)行混淆代碼或是防二次打包，對(duì)于源碼的保護(hù)并不到位，同時(shí)也不清楚其中所隱藏的漏洞。

成都創(chuàng)新互聯(lián)從2013年成立，先為濱江等服務(wù)建站，濱江等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為濱江企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

    騰訊御安全作為一個(gè)專注于為個(gè)人和企業(yè)移動(dòng)應(yīng)用開(kāi)發(fā)者提供全面的應(yīng)用安全服務(wù)的平臺(tái)，其豐富的漏洞特征庫(kù)，能夠全面覆蓋已知漏洞，可對(duì)99%的安卓APP進(jìn)行漏洞風(fēng)險(xiǎn)掃描。同時(shí)，基于廣大用戶的漏洞掃描案例，總結(jié)出以下幾點(diǎn)常見(jiàn)的漏洞。

一、門戶大開(kāi)：常見(jiàn)漏洞***的3個(gè)入口

1）導(dǎo)出組件

    導(dǎo)出組件，是Android上最常見(jiàn)，門檻最低的***入口，如manifest中組件設(shè)置不當(dāng)?shù)脑挘痛嬖诒蝗我庹{(diào)用的可能，最常見(jiàn)的是拒絕服務(wù)***。

    示例：

    防護(hù)措施：對(duì)外暴露的組件要做到“最小化”輸出，發(fā)布前做好安全檢測(cè)分析，提前發(fā)現(xiàn)風(fēng)險(xiǎn)。

2）端口開(kāi)放

    應(yīng)用通過(guò)監(jiān)聽(tīng)固定接口，使用socket來(lái)實(shí)現(xiàn)本地IPC、遠(yuǎn)程網(wǎng)絡(luò)通信。這種監(jiān)聽(tīng)固定端口的方式很容易被局域網(wǎng)內(nèi)***程序探測(cè)到，這些暴露的socket如果沒(méi)有協(xié)議加密、沒(méi)有權(quán)限控制的話，就很容被利用，作為***入口，輕者拒絕服務(wù)，重者遠(yuǎn)程代碼執(zhí)行。

    示例：固定端口的監(jiān)控掃描

    Socket實(shí)現(xiàn)，如果不做訪問(wèn)控制，協(xié)議安全性又比較弱，那后果就嚴(yán)重了。

     防護(hù)措施：端口隨機(jī)化，訪問(wèn)要控制，協(xié)議要加密。

3）插件加載

    插件加載設(shè)計(jì)很普遍， so加載、dex加載…..但因?yàn)椴寮鎯?chǔ)不安全，很容易被人篡改和替換，如果沒(méi)有在加載過(guò)程做校驗(yàn)的話，那就有可能被人用偽造的插件來(lái)進(jìn)行任意代碼執(zhí)行。

    示例：公共目錄存儲(chǔ)的插件

    Dex加載沒(méi)校驗(yàn)，存在任意代碼執(zhí)行的風(fēng)險(xiǎn)…

    用System.load來(lái)進(jìn)行so加載，如無(wú)校驗(yàn)，存在被替換、篡改的風(fēng)險(xiǎn)。

    防護(hù)措施：存儲(chǔ)要安全，別讓別人碰。加載要校驗(yàn)，我的地盤我做主。

二、偷梁換柱：常見(jiàn)漏洞***的2種手段

1）偽造通信

    常見(jiàn)偽造通信類型有：進(jìn)程內(nèi)組件間的Intent通信、遠(yuǎn)程Service通信、Socket的IPC通信等，如果沒(méi)有嚴(yán)格的通信校驗(yàn)，***者通過(guò)偽造通信數(shù)據(jù)，達(dá)到不可告人的目的。

    示例：通過(guò)暴露的遠(yuǎn)程service，偽造通信數(shù)據(jù)，實(shí)現(xiàn)應(yīng)用程序遠(yuǎn)程下載和安裝。

    偽造socket通信數(shù)據(jù)，實(shí)現(xiàn)應(yīng)用特定指令執(zhí)行，盜取敏感數(shù)據(jù)。

    防護(hù)措施：協(xié)議數(shù)據(jù)要加密，通信訪問(wèn)要驗(yàn)證。

2）偽造文件

    文件權(quán)限和校驗(yàn)的失控，讓***者有機(jī)可乘。代碼文件存放在公共目錄，程序沒(méi)有對(duì)文件進(jìn)行完整性校驗(yàn)，就很容易造成應(yīng)用的代碼被劫持，從而進(jìn)行注入。

    示例：sdcard公共目錄下的so文件

    應(yīng)用程序的進(jìn)程信息：

    代碼注入：

、

    防護(hù)措施：注意插件存儲(chǔ)安全，盡量避免公共目錄存儲(chǔ)；同時(shí)插件加載要校驗(yàn)，以免被劫持注入。

    APP作為通向海量用戶信息的入口，涉及到直接的金錢交易或個(gè)人隱私相關(guān)的應(yīng)用的重要性是不言而喻的。而Android應(yīng)用市場(chǎng)對(duì)app的審核相對(duì)iOS來(lái)說(shuō)也比較寬泛，為很多漏洞提供了可乘之機(jī)。

    所以安卓應(yīng)用程序要做好自身的防護(hù)措施，同時(shí)借助專業(yè)的安全服務(wù)平臺(tái)，如騰訊御安全，除了擁有專業(yè)級(jí)加固解決方案之外，還提供APP漏洞掃描服務(wù)，開(kāi)發(fā)者可發(fā)現(xiàn)常見(jiàn)的漏洞及風(fēng)險(xiǎn)，完美避開(kāi)大規(guī)模工具***。有需求的團(tuán)隊(duì)可以登錄騰訊御安全官網(wǎng)試用，或聯(lián)系我們（郵箱：yaq@tencent.com）。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前題目：關(guān)于Android應(yīng)用程序漏洞的防護(hù)措施-創(chuàng)新互聯(lián)
文章來(lái)源：http://vcdvsql.cn/article14/cdgege.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、微信公眾號(hào)、全網(wǎng)營(yíng)銷推廣、網(wǎng)站維護(hù)、虛擬主機(jī)、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)