androidapp安全問題

Ⅰ app上傳日誌有危險嗎

不會有危險，但是會泄露你的個人信息。

作為一個開發人員，必須具備安全意識，掌握基礎的安全知識，為打造更加安全的應用做出努力。本文淺談Android客戶端的安全問題。

涉及組件、WebView、存儲、傳輸、日誌、混淆、應用加固等安全漏洞及防護策略，運用更加合理的配置與防護措施來提高應用的安全級別。

這里提到的組件訪問許可權主要是指跨應用的進程間通信（IPC，Inter-Process Communication），開發者可以限定應用內的組件是否允許被其他應用調起。

或接收來自外部應用的數據，或者訪問我們的數據。並且必須對來自外部應用的數據做校驗處理，避免來自外部攻擊。如惡意調用組件、廣播數據攻擊、惡意訪問數據等等。

手機軟體，主要指安裝在智能手機上的軟體，完善原始系統的不足與個性化。使手機完善其功能，為用戶提供更豐富的使用體驗的主要手段。

手機軟體的運行需要有相應的手機系統，截至2017年6月1日，主要的手機系統：蘋果公司的iOS、谷歌公司的Android（安卓）系統、塞班平台和微軟平台。

2019年11月4日，工業和信息化部信息通信管理局組織召開APP侵害用戶權益行為專項整治工作啟動部署會。

將重點對違規收集用戶個人信息、違規使用用戶個人信息、不合理索取用戶許可權、為用戶賬戶注銷設置障礙四個方面的8類問題開展規范整治工作。

Ⅱ Android應用商店的軟體安全性到底如何

俄亥俄州立大學帶領的一支研究團隊，剛剛在新研究中發現：

成千上萬款 Android 應用程序，似乎都包含著不可告人的隱藏後門 —— 表明惡意開發者仍在繼續將 Google Play 商店作為攻擊目標。

本次研究調查了 15 萬款應用程序，其中 2/3 來自谷歌官方的應用商店，另外一些則來自三星、網路等第三方應用商店。

【來自：ohio-state.e】

來自俄亥俄州立大學、紐約大學、以及亥姆霍茲信息安全中心的研究人員，對 15 萬款 Android 應用程序展開了細致且深入的調查。

研究人員指出，在 15 萬個 App 中，幾乎有 1.3 萬個存在後門行為（比如秘密訪問密鑰和主密碼）。

今年早些時候，數十個隱私倡導組織致信谷歌 CEO 桑達爾·皮查伊，以期減少預裝在設備上的過時軟體。

最後，新研究隨機選擇了 30 款至少具有百萬安裝量的應用，發現其中有一款竟然允許遠程登錄。

遺憾的是，Google Play 商店一直受到此類問題的困擾，且谷歌安全團隊經常只能被動地等待威脅公開後，才立即對惡意軟體採取行動。

只能說，比網上亂下載的要安全

但是！並不代表絕對安全！！

舉一個我最近遇到的事例

前幾天安裝了一個軟體，是從手機自帶的應用商店下載的。

安裝的當天我並 沒有 感覺到什麼 異常 ，安全管家 沒有報毒 ，軟體運行也很流暢， 功能 也 正常運行 。

但是第二天，我的手機就開始收到大量的 垃圾簡訊&垃圾電話 (當天的騷擾攔截甚至達到了三位數！)

我意識到事情不對勁，趕緊 刪掉 了 軟體 ，向運營商 申請 了 屏蔽信息和電話 ，才得到解決。

那麼我們回頭來看看這個軟體

提取安裝包，檢查每一項可執行資源，很快就找到了問題所在

assets文件夾里，套用了一個jar壓縮文件。

眾所周知，assets文件夾里的所有文件都可以在軟體調用時直接被修改後綴 (哪怕是從文本類型更改為視頻類型)

而這個文件打開磨念之後是另一個軟體

一個軟體套用另一個軟體的操作很常見，關鍵取決於套用的軟體用途是什麼

而這個軟體，是用來 更改地區設置 的 (甚至僅提供大陸以外地區的)

那麼開發者用這個幹了什麼？

答案是:用來 登錄菠菜網站

我們回頭來看主體軟體，拆分其dex

在其變數命名等過程中，進行了包括 登錄網站，後台讀取QQ、微信、微博等操作，甚至禁用了360等殺毒軟體的安裝

至於登錄網站以後進行了什麼操作，我們不得而知，但可以肯定的一點是:我的手機號就是從這里被傳播的

被登錄網站

隨後，我將情況反饋給了服務商，並發表了這條評論

綜上，應用商店下載的軟體安全性也不能得到完全的保證

但至少，不會存在鎖機等大型惡意病毒

所以，請禁止軟體申請不必要的許可權，不要安裝來路不明的軟體

從安卓應用商店的很多軟體評價來看，狀況不是很好，那些下載量500萬+的應用軟體，也可能就是個坑。根本不好用，甚至不能用。還是要靠自己火眼金睛來甄別好的應用和騙人的應用。

另外提一個小問題，有些安卓應用如手機網路8.1版本，甚至強制要求定位許可權，否則無法使用。存在一個過分要求運鬧許可權的問題。

自從手機進入智能時代，病毒和流氓軟體就成為了人們預防的主要對象。

Android系統出現後，市場佔有率達到了85%之多。且由於其開源以及碎片化的特性，成為了流氓軟體的眾矢之的。幸運的是，Android將安全作為手機的第一優先順序，並使用了沙盒機制和許可權控制來限制應用，來預防潛在的流瞎悄困氓行為。但盡管如此，市面上還是存在著大量的流氓軟體和病毒

使用官方市場，最簡單的法則就是使用Android官方的應用商店—Google Play Store。這里是最接近「0」流氓軟體的地方，要注意這里我用的詞語是「接近」，因為每天有成千上萬個應用被上傳到應用市場，而審核機制並不能確保完全過濾掉流氓軟體。

國內的大部分手機由於沒有Google服務包，也就缺少了Google的官方應用商店，但我們就因此不能避免感染流氓軟體了嗎？並不是。幸運的是，在 Android設備中，應用程序並不被限制在唯一一個應用商店中發行，一些類似亞馬遜Appstore的第三方應用商店也有許可權發行應用軟體，並且安全性不亞於Google Play Store。

需要注意的是，國內第三方應用商店種類繁多，某些商店中可能會包含一些來源不明的應用，我們要避免使用這些商店中的應用軟體。

避免使用未知來源的應用程序

Android的「設置--安全」中，有一個選項叫做「未知來源——允許安裝來自Play商店之外的其它來源的應用」。這個選項默認是關閉的，我不建議開啟。不知道大家有沒有遇到過類似情況，打開某些網站後，會彈出後台下載窗口自動下載應用程序，下載完畢後還會彈出安裝窗口。

這樣的應用安裝包不一定通過正規應用商店的審核，安裝後輕則可能會泄露個人信息，重則被盜取銀行賬戶資料，或導致數據丟失和損壞。而「未知來源」這個設置如果被關閉，那麼這樣的應用就無法被安裝到手機當中，也就阻擋了不明應用所帶來的傷害。

挺好的，不用關心，自動更新