Android移动APP安全问题现状

Android移动APP安全问题现状1. 移动APP发展现状与市场

1.1 移动用户数量的增长

移动技术的发展主要由消费用户决定。消费用户对于安全级别的要求较低，决定了移动技术在大规模应用于企业市场前期时就已经存在了大量的安全风险问题。

在面对已经存在的移动APP的安全威胁时，我们往往无法将日常桌面级平台的经验搬过来使用，主要是由于恶意攻击在最近几年越来越多，但相较其它安全威胁类型占比不大。主要根源在于移动APP的本质，移动APP通过网络与移动设备之间进行传播，遭遇攻击的可能性多种多样。

另外，大量的Android移动APP发布到互联网或应用商城中，其间缺乏相应的安全检测环节，导致用户直接下载存在安全问题的移动APP并将其安装至自己的Android智能手机中。

2. 用户眼中移动APP的安全现状

1.2 移动App应用的增长

普通消费用户及企业用户看来，移动APP的安全似乎跟自己的关系不大，或者说即使存在安全隐患也不会给自己带来比较大的影响和损失。他们往往不清楚由于移动APP的安全问题可能导致自己的个人信息泄露及财产的损失等其他安全威胁。

即使用户明确或怀疑某个APP存在安全问题，也不会当机立断的将其卸载弃用，而是会视相应的情况而定。

但随着移动APP安全问题越来越突出，用户也渐渐关注并重视起来。在不久的将来，移动APP更出色的安全性可能会渐渐成为吸引用户的关键因素。

3. Android移动APP安全问题的现状与危害

移动应用商店的应用种类丰富度是用户直接需求，安全性是用户基础需求，保证应用安全应该放在提高种类丰富度之前。

根据某相关机构的数据统计结果来看，65%的移动APP至少存在一个高危漏洞，88%的移动APP至少存在一个中危漏洞，平均每一个移动APP存在7.32个漏洞。而在其中，安全漏洞占据了几乎三分之二。

目前移动APP主要存在安全问题包括：Activity公开组件暴露、Broadcast Receiver组件调用漏洞、Service组件任意调用漏洞、Pending Intent包含隐式Intent信息泄露漏洞、Android APP allowBackup安全漏洞、应用反编译、外部存储设备敏感信息泄漏等。

4. Activity公开组件暴露

在对移动APP的安装包进行解析时，查看其Manifest配置文件。在其中查看Activity的android:exported属性参数，该属性用来标示当前Activity是否可以被另一个APP的组件启动。如果Activity里面至少有一个filter的话，意味着这个Activity可以被其它应用从外部唤起，此时其默认值为true。

不只有exported这个属性可以指定Activity是否暴露给其它应用，也可以使用permission来限制外部实体唤醒当前Activity。故查看android:permission是否指定启用该Activity所需要的权限名称。

通过测试工具对Activity组件进行测试之后。

攻击者可将正常的Activity界面替换成仿冒的恶意Activity界面，也可通过第三方APP任意调用可被导出的Activity组件，导致敏感信息泄露，并可能受到绕过认证、恶意代码注入等攻击的风险。

5. 外部存储设备敏感信息泄漏

在对APP的安全检测中，查看APP在Android设备中的安装目录，发现有些APP中的xml文件、数据库文件中存储了明文的用户信息，比如姓名、手机号、身份证号等敏感信息。（2020年已经更新解决了绝大部分此问题）

6.app应用反编译

通过工具将移动APP的安装包apk文件进行反编译，查看源代码，若已加壳的APP只能看到很少的smali文件。若APP未进行过加壳，则会显示很多smali文件，并可将smali转换，程序源代码就会展现出来。

已经过加壳处理的APP安装包通过反编译后，只能看到少量与加壳相关的smali文件，无APP相关smali。

加固前如下图：

加固后如下图：

对于未经过加壳处理的移动APP安装包，可通过反编译查看其详细的源代码、配置文件等。攻击者可对获取到的APP源代码、配置文件进行分析，还可以通过代码审计等方式深入挖掘APP存在的安全漏洞，并对发现的漏洞进行利用，对APP及其用户造成极大的安全隐患。

安卓逆向灰产梗

移动APP安全越来越被重视，将安全融入到APP的开发周期中，视图解决开发和安全分割的现状。

对于缺少开发周期周缺少安全检测的公司或个人，可通过第三方安全检测机构或平台，对其APP进行安全检测移动应用安全，加固APP的安全性，为推向市场后用户的安全使用保驾护航。

《网络安全法》的颁布从大众视角来看，标志着中国互联网安全正式告别蛮荒时代。对于开发企业及个人而言，贯彻落实网络安全法合规性刻不容缓。在APP开发过程中做到严谨规范，这是移动APP安全乃至整个信息安全领域的第一步。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!