App的安全問題

標籤：

App的安全問題

根據網上所查的資料，羅列了一些App的安全問題，主要有以下幾點：

1. 隱私資料

• 外部儲存安全和內部儲存安全
• 使用者名稱、密碼、聊天記錄、配置資訊等隱私資訊是否被儲存在本地，是否加密儲存
• 使用資料前都判斷資訊是否被篡改

2. 許可權攻擊

• 檢查App所在的目錄，其許可權必須為不允許其他群組成員讀寫
• 檢查系統許可權是否受到攻擊

3. 資料通訊

• 軟體與軟體的通訊安全，主要是意圖不被其他程式截獲
• 軟體與網路伺服器的通訊安全，即檢查敏感資訊在網路傳輸中是否做了加密處理
• 防止暴力破解使用者名稱、密碼

4. 運行時解釋保護

• 對於嵌有解譯器的軟體，檢查是否存在XSS、SQL注入漏洞
• 使用webiew的App，檢查是否存在URL欺騙漏洞

5. Android組件許可權保護

• 禁止App內部組件被任意第三方程式調用
• 禁止Activity被任意第三方程式調用
• 禁止Activity劫持
• Broadcast的接收和發送安全，只能接收本程式發出的廣播，發送的內容不想讓第三方獲得
• 禁止惡意的啟動或者停止service
• Content provider的操作許可權
• 若需要供外部調用的組件，應檢查對調用者是否做了簽名限制

6. 升級

• 檢查是否對升級包的完整性、合法性進行了校正，避免升級包被劫持

7. 第三方庫

• 如果使用了第三方庫，需要跟進第三方庫的更新並且檢查第三方庫的安全性

8. ROM安全

• 使用官方ROM或者權威團隊提供的ROM，避免ROM中被添加了植入廣告、木馬等

9. 對抗反破解

• 對抗反編譯，即無法通過反編譯工具對其進行反編譯，或者反編譯之後無法得到正確的反組譯碼代碼
• 對抗靜態分析，採用代碼混淆技術，代碼加密
• 對抗動態調試，在軟體中加入檢測調試器和模擬器的代碼
• 防止重編譯，檢查簽名、校正編譯之後dex檔案的Hash值

App的安全問題