首页> 安全资讯 > 安卓应用面临的安全问题有哪些

安卓应用面临的安全问题有哪些

发布时间:2015-06-23

由于智能机的普及和安卓手机的高使用率,安卓应用越来越频繁的运用到人们的日常生活;安卓系统的开源性和大家对移动安全的不重视导致了安卓应用安全问题的爆发,一些涉及安全的不正当行为由此形成了一系列的灰色产业链,通过非法获知用户隐私和帐号密码来牟取高额的非法收益;此外Android应用市场对app的审核相对iOS来说比较宽松,为很多漏洞提供了可乘之机。

安卓应用究竟面临哪些安全问题,这里为大家简单列举:

病毒

Android病毒就是手机木马,主要是一些恶意的应用程序。比如去年央视曝光的一款名为“银行悍匪”的手机银行木马,模仿真正的手机银行软件,通过钓鱼方式获取用户输入的手机号、身份证号、银行账号、密码等信息,并把这些信息上传到黑客指定服务器。盗取银行账号密码后,立即将用户账户里的资金转走。手机木马有的独立存在,有的则伪装成图片文件的方式附在正版App上,隐蔽性极强,部分病毒还会出现变种,并且一代比一代更强大。

信息泄露

信息泄露是安卓应用面临的主要危害之一。虽然java代码一般要做混淆,但是Android的几大组件的创建方式是依赖注入的方式,因此不能被混淆,而且目前常用的一些反编译工具比如apktool等能够毫不费劲的还原java里的明文信息,native里的库信息也可以通过objdump或IDA获取。因此一旦java或native代码里存在明文敏感信息,基本上就是毫无安全而言的。

进程劫持

这个几乎是目前针对性最强的一种攻击方式了,一般通过进程注入或者调试进程的方式来hook进程,改变程序运行的逻辑和顺序,获取程序运行的内存信息,也就是用户所有的行为都被监控起来,这也是盗取帐号密码最常用的一种方式。

传输数据劫持

传输过程最常见的劫持就是中间人攻击。很多安全要求较高的应用程序要求所有的业务请求都是通过https,但是https的中间人攻击也逐渐多了起来,而且我们发现在实际使用中,证书交换和验证在一些山寨手机或者非主流ROM上面存在一些问题,让https的使用碰到阻碍。

键盘劫持

支付密码一般是通过键盘输入的,键盘输入的安全直接影响了密码的安全。键盘的安全隐患来自三个方面:

使用第三方输入法,则所有的点击事件在技术上都可以被三方输入法截取,如果不小心使用了一些不合法的输入法,或者输入法把采集的信息上传并且泄露,后果是不堪设想的。

截屏,该方法需要手机具有root权限,通过截屏软件记录用户输入的信息。

getevent,通过读取系统驱动层dev/input/event1中的信息,获取手机触屏的位置坐标,在结合键盘的布局,就能算出来事件跟具体数字的映射关系,这也是目前比较常用的攻击方式。

Webview漏洞

由于现在hybrid app的盛行,Webview在app的使用也是越来越多,Android 系统Webview存在一些漏洞,造成js提权。最为著名的就是传说中js注入漏洞和webkit xss漏洞。

以上是安卓应用面临的主要六种安全问题。针对安卓应用,爱加密(www.ijiami.cn)提供了多种安全服务和加密方式全面解决安卓风险问题。例如爱加密漏洞检测服务可以一键找出APP潜在的漏洞和恶意软件存在的病毒;针对应用被劫持,爱加密提供多种加密项目和加密方式,解决进程和数据传输过程中可能存在的劫持风险。截至目前,爱加密已为超过30万款的安卓应用提供安全服务,覆盖5亿终端用户。


加入收藏