❶ Android常见漏洞及安全要点
应用安全是至关重要的,它不仅关系到代码安全,还包括隐私和数据安全,这一问题相当复杂。
尽管无法完全避免安全问题,但通过某些手段和策略,可以显著提高应用的安全性,防止漏洞和问题的出现。
以下将探讨Android常见的漏洞。
1. Android Manifest配置相关的风险漏洞
这类漏洞主要由于组件暴露等原因造成,是可避免的。
例如,程序存在可被任意调试的风险,这是因为APK配置文件中设置了android:debuggable="true"。可以通过设置android:debuggable="false"来避免。
此外,还有程序数据任意备份的风险,可通过设置android:allowBackup="false"来关闭备份功能。
2. WebView组件及与服务器通信相关的风险漏洞
Webview组件存在本地Java接口,可能导致攻击者远程执行任意代码。建议开发者不要使用addJavascriptInterface,而是使用注解@Javascript或第三方协议的替代方案。
3. 数据安全风险漏洞
数据存储风险、全局File可读写漏洞、配置文件可读写泄露风险等都是数据安全风险漏洞的例子。
例如,使用getSharedPreferences打开文件时,第二个参数设置为了MODE_WORLD_READABLE,可能导致信息泄漏。建议如果必须设置为全局可读模式,请保证存储的数据是非隐私数据或者加密后存储。
4. 校验或限定不严导致的风险漏洞
Fragment注入、隐式意图调用等都是校验或限定不严导致的风险漏洞。
例如,Intent隐式调用发送的意图可被第三方劫持,导致内部隐私数据泄露。建议将隐式调用改为显式调用。