androidapp安全问题

Ⅰ app上传日志有危险吗

不会有危险，但是会泄露你的个人信息。

作为一个开发人员，必须具备安全意识，掌握基础的安全知识，为打造更加安全的应用做出努力。本文浅谈Android客户端的安全问题。

涉及组件、WebView、存储、传输、日志、混淆、应用加固等安全漏洞及防护策略，运用更加合理的配置与防护措施来提高应用的安全级别。

这里提到的组件访问权限主要是指跨应用的进程间通信（IPC，Inter-Process Communication），开发者可以限定应用内的组件是否允许被其他应用调起。

或接收来自外部应用的数据，或者访问我们的数据。并且必须对来自外部应用的数据做校验处理，避免来自外部攻击。如恶意调用组件、广播数据攻击、恶意访问数据等等。

手机软件，主要指安装在智能手机上的软件，完善原始系统的不足与个性化。使手机完善其功能，为用户提供更丰富的使用体验的主要手段。

手机软件的运行需要有相应的手机系统，截至2017年6月1日，主要的手机系统：苹果公司的iOS、谷歌公司的Android（安卓）系统、塞班平台和微软平台。

2019年11月4日，工业和信息化部信息通信管理局组织召开APP侵害用户权益行为专项整治工作启动部署会。

将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍四个方面的8类问题开展规范整治工作。

Ⅱ Android应用商店的软件安全性到底如何

俄亥俄州立大学带领的一支研究团队，刚刚在新研究中发现：

成千上万款 Android 应用程序，似乎都包含着不可告人的隐藏后门 —— 表明恶意开发者仍在继续将 Google Play 商店作为攻击目标。

本次研究调查了 15 万款应用程序，其中 2/3 来自谷歌官方的应用商店，另外一些则来自三星、网络等第三方应用商店。

【来自：ohio-state.e】

来自俄亥俄州立大学、纽约大学、以及亥姆霍兹信息安全中心的研究人员，对 15 万款 Android 应用程序展开了细致且深入的调查。

研究人员指出，在 15 万个 App 中，几乎有 1.3 万个存在后门行为（比如秘密访问密钥和主密码）。

今年早些时候，数十个隐私倡导组织致信谷歌 CEO 桑达尔·皮查伊，以期减少预装在设备上的过时软件。

最后，新研究随机选择了 30 款至少具有百万安装量的应用，发现其中有一款竟然允许远程登录。

遗憾的是，Google Play 商店一直受到此类问题的困扰，且谷歌安全团队经常只能被动地等待威胁公开后，才立即对恶意软件采取行动。

只能说，比网上乱下载的要安全

但是！并不代表绝对安全！！

举一个我最近遇到的事例

前几天安装了一个软件，是从手机自带的应用商店下载的。

安装的当天我并 没有 感觉到什么 异常 ，安全管家 没有报毒 ，软件运行也很流畅， 功能 也 正常运行 。

但是第二天，我的手机就开始收到大量的 垃圾短信&垃圾电话 (当天的骚扰拦截甚至达到了三位数！)

我意识到事情不对劲，赶紧 删掉 了 软件 ，向运营商 申请 了 屏蔽信息和电话 ，才得到解决。

那么我们回头来看看这个软件

提取安装包，检查每一项可执行资源，很快就找到了问题所在

assets文件夹里，套用了一个jar压缩文件。

众所周知，assets文件夹里的所有文件都可以在软件调用时直接被修改后缀 (哪怕是从文本类型更改为视频类型)

而这个文件打开磨念之后是另一个软件

一个软件套用另一个软件的操作很常见，关键取决于套用的软件用途是什么

而这个软件，是用来 更改地区设置 的 (甚至仅提供大陆以外地区的)

那么开发者用这个干了什么？

答案是:用来 登录菠菜网站

我们回头来看主体软件，拆分其dex

在其变量命名等过程中，进行了包括 登录网站，后台读取QQ、微信、微博等操作，甚至禁用了360等杀毒软件的安装

至于登录网站以后进行了什么操作，我们不得而知，但可以肯定的一点是:我的手机号就是从这里被传播的

被登录网站

随后，我将情况反馈给了服务商，并发表了这条评论

综上，应用商店下载的软件安全性也不能得到完全的保证

但至少，不会存在锁机等大型恶意病毒

所以，请禁止软件申请不必要的权限，不要安装来路不明的软件

从安卓应用商店的很多软件评价来看，状况不是很好，那些下载量500万+的应用软件，也可能就是个坑。根本不好用，甚至不能用。还是要靠自己火眼金睛来甄别好的应用和骗人的应用。

另外提一个小问题，有些安卓应用如手机网络8.1版本，甚至强制要求定位权限，否则无法使用。存在一个过分要求运闹权限的问题。

自从手机进入智能时代，病毒和流氓软件就成为了人们预防的主要对象。

Android系统出现后，市场占有率达到了85%之多。且由于其开源以及碎片化的特性，成为了流氓软件的众矢之的。幸运的是，Android将安全作为手机的第一优先级，并使用了沙盒机制和权限控制来限制应用，来预防潜在的流瞎悄困氓行为。但尽管如此，市面上还是存在着大量的流氓软件和病毒

使用官方市场，最简单的法则就是使用Android官方的应用商店—Google Play Store。这里是最接近“0”流氓软件的地方，要注意这里我用的词语是“接近”，因为每天有成千上万个应用被上传到应用市场，而审核机制并不能确保完全过滤掉流氓软件。

国内的大部分手机由于没有Google服务包，也就缺少了Google的官方应用商店，但我们就因此不能避免感染流氓软件了吗？并不是。幸运的是，在 Android设备中，应用程序并不被限制在唯一一个应用商店中发行，一些类似亚马逊Appstore的第三方应用商店也有权限发行应用软件，并且安全性不亚于Google Play Store。

需要注意的是，国内第三方应用商店种类繁多，某些商店中可能会包含一些来源不明的应用，我们要避免使用这些商店中的应用软件。

避免使用未知来源的应用程序

Android的“设置--安全”中，有一个选项叫做“未知来源——允许安装来自Play商店之外的其它来源的应用”。这个选项默认是关闭的，我不建议开启。不知道大家有没有遇到过类似情况，打开某些网站后，会弹出后台下载窗口自动下载应用程序，下载完毕后还会弹出安装窗口。

这样的应用安装包不一定通过正规应用商店的审核，安装后轻则可能会泄露个人信息，重则被盗取银行账户资料，或导致数据丢失和损坏。而“未知来源”这个设置如果被关闭，那么这样的应用就无法被安装到手机当中，也就阻挡了不明应用所带来的伤害。

挺好的，不用关心，自动更新