❶ Android常見漏洞及安全要點
應用安全是至關重要的,它不僅關繫到代碼安全,還包括隱私和數據安全,這一問題相當復雜。
盡管無法完全避免安全問題,但通過某些手段和策略,可以顯著提高應用的安全性,防止漏洞和問題的出現。
以下將探討Android常見的漏洞。
1. Android Manifest配置相關的風險漏洞
這類漏洞主要由於組件暴露等原因造成,是可避免的。
例如,程序存在可被任意調試的風險,這是因為APK配置文件中設置了android:debuggable="true"。可以通過設置android:debuggable="false"來避免。
此外,還有程序數據任意備份的風險,可通過設置android:allowBackup="false"來關閉備份功能。
2. WebView組件及與伺服器通信相關的風險漏洞
Webview組件存在本地Java介面,可能導致攻擊者遠程執行任意代碼。建議開發者不要使用addJavascriptInterface,而是使用註解@Javascript或第三方協議的替代方案。
3. 數據安全風險漏洞
數據存儲風險、全局File可讀寫漏洞、配置文件可讀寫泄露風險等都是數據安全風險漏洞的例子。
例如,使用getSharedPreferences打開文件時,第二個參數設置為了MODE_WORLD_READABLE,可能導致信息泄漏。建議如果必須設置為全局可讀模式,請保證存儲的數據是非隱私數據或者加密後存儲。
4. 校驗或限定不嚴導致的風險漏洞
Fragment注入、隱式意圖調用等都是校驗或限定不嚴導致的風險漏洞。
例如,Intent隱式調用發送的意圖可被第三方劫持,導致內部隱私數據泄露。建議將隱式調用改為顯式調用。