關(guān)于Android應(yīng)用程序漏洞的防護(hù)措施-創(chuàng)新互聯(lián)

目前，Android應(yīng)用程序市場的發(fā)展速度飛快，不少開發(fā)者為了追求開發(fā)速度而忽視應(yīng)用程序的安全。但由于Android系統(tǒng)的開源性及其Java編寫的特殊性，各類Android App經(jīng)常被爆出漏洞，有的Android開發(fā)者只是對App進(jìn)行混淆代碼或是防二次打包，對于源碼的保護(hù)并不到位，同時也不清楚其中所隱藏的漏洞。

成都創(chuàng)新互聯(lián)從2013年成立，先為濱江等服務(wù)建站，濱江等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為濱江企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

    騰訊御安全作為一個專注于為個人和企業(yè)移動應(yīng)用開發(fā)者提供全面的應(yīng)用安全服務(wù)的平臺，其豐富的漏洞特征庫，能夠全面覆蓋已知漏洞，可對99%的安卓APP進(jìn)行漏洞風(fēng)險掃描。同時，基于廣大用戶的漏洞掃描案例，總結(jié)出以下幾點常見的漏洞。

一、門戶大開：常見漏洞***的3個入口

1）導(dǎo)出組件

    導(dǎo)出組件，是Android上最常見，門檻最低的***入口，如manifest中組件設(shè)置不當(dāng)?shù)脑?，就存在被任意調(diào)用的可能，最常見的是拒絕服務(wù)***。

    示例：

    防護(hù)措施：對外暴露的組件要做到“最小化”輸出，發(fā)布前做好安全檢測分析，提前發(fā)現(xiàn)風(fēng)險。

2）端口開放

    應(yīng)用通過監(jiān)聽固定接口，使用socket來實現(xiàn)本地IPC、遠(yuǎn)程網(wǎng)絡(luò)通信。這種監(jiān)聽固定端口的方式很容易被局域網(wǎng)內(nèi)***程序探測到，這些暴露的socket如果沒有協(xié)議加密、沒有權(quán)限控制的話，就很容被利用，作為***入口，輕者拒絕服務(wù)，重者遠(yuǎn)程代碼執(zhí)行。

    示例：固定端口的監(jiān)控掃描

    Socket實現(xiàn)，如果不做訪問控制，協(xié)議安全性又比較弱，那后果就嚴(yán)重了。

     防護(hù)措施：端口隨機(jī)化，訪問要控制，協(xié)議要加密。

3）插件加載

    插件加載設(shè)計很普遍， so加載、dex加載…..但因為插件存儲不安全，很容易被人篡改和替換，如果沒有在加載過程做校驗的話，那就有可能被人用偽造的插件來進(jìn)行任意代碼執(zhí)行。

    示例：公共目錄存儲的插件

    Dex加載沒校驗，存在任意代碼執(zhí)行的風(fēng)險…

    用System.load來進(jìn)行so加載，如無校驗，存在被替換、篡改的風(fēng)險。

    防護(hù)措施：存儲要安全，別讓別人碰。加載要校驗，我的地盤我做主。

二、偷梁換柱：常見漏洞***的2種手段

1）偽造通信

    常見偽造通信類型有：進(jìn)程內(nèi)組件間的Intent通信、遠(yuǎn)程Service通信、Socket的IPC通信等，如果沒有嚴(yán)格的通信校驗，***者通過偽造通信數(shù)據(jù)，達(dá)到不可告人的目的。

    示例：通過暴露的遠(yuǎn)程service，偽造通信數(shù)據(jù)，實現(xiàn)應(yīng)用程序遠(yuǎn)程下載和安裝。

    偽造socket通信數(shù)據(jù)，實現(xiàn)應(yīng)用特定指令執(zhí)行，盜取敏感數(shù)據(jù)。

    防護(hù)措施：協(xié)議數(shù)據(jù)要加密，通信訪問要驗證。

2）偽造文件

    文件權(quán)限和校驗的失控，讓***者有機(jī)可乘。代碼文件存放在公共目錄，程序沒有對文件進(jìn)行完整性校驗，就很容易造成應(yīng)用的代碼被劫持，從而進(jìn)行注入。

    示例：sdcard公共目錄下的so文件

    應(yīng)用程序的進(jìn)程信息：

    代碼注入：

、

    防護(hù)措施：注意插件存儲安全，盡量避免公共目錄存儲；同時插件加載要校驗，以免被劫持注入。

    APP作為通向海量用戶信息的入口，涉及到直接的金錢交易或個人隱私相關(guān)的應(yīng)用的重要性是不言而喻的。而Android應(yīng)用市場對app的審核相對iOS來說也比較寬泛，為很多漏洞提供了可乘之機(jī)。

    所以安卓應(yīng)用程序要做好自身的防護(hù)措施，同時借助專業(yè)的安全服務(wù)平臺，如騰訊御安全，除了擁有專業(yè)級加固解決方案之外，還提供APP漏洞掃描服務(wù)，開發(fā)者可發(fā)現(xiàn)常見的漏洞及風(fēng)險，完美避開大規(guī)模工具***。有需求的團(tuán)隊可以登錄騰訊御安全官網(wǎng)試用，或聯(lián)系我們（郵箱：yaq@tencent.com）。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前題目：關(guān)于Android應(yīng)用程序漏洞的防護(hù)措施-創(chuàng)新互聯(lián)
文章來源：http://bm7419.com/article14/cdgege.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、微信公眾號、全網(wǎng)營銷推廣、網(wǎng)站維護(hù)、虛擬主機(jī)、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)