快好知 kuaihz

安卓系统漏洞有哪些

系统漏洞是普遍存在的,但是您听说过安卓系统漏洞吗?安卓系统漏洞有哪些?了解网络安全常识,首先就要了解计算机网络安全有哪些基本注意事项,下面本站小编就带您认识一下吧。

1. 应用反编译漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重新打包成新的 APK。利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。建议:使用 ProGuard 等工具混淆代码,重要逻辑用 NDK 实现。例子:反编译重打包 FlappyBird,把广告商 ID 换了,游戏改加插一段恶意代码等等。

2. 数据的存储与传输漏洞:外部存储(SD 卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在 SD 卡上,或者动态加载的 payload 放在 SD 卡上。利用:窃取敏感信息,篡改配置文件,修改 payload 逻辑并重打包。建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。利用:全局读写敏感信息,或 root 后读取明文信息。建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。

3. 密码泄露漏洞:密码明文存储,传输。利用: root 后可读写内部存储。SD 卡全局可读写。公共 WiFi 抓包获取账号密码。建议:实用成熟的加密方案。不要把密码明文存储在 SD 卡上。

4. 组件暴露 (Activity, Service, Broadcast Receiver, Content Provider)漏洞:组件在被调用时未做验证。在调用其他组件时未做验证。利用:调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。监听暴露组件,读取数据。建议:验证输入信息、验证组件调用等。android:exported 设置为 false。使用 android:protectionLevel="signature" 验证调用来源。

5. WebView漏洞:恶意 App 可以注入 JavaScript 代码进入 WebView 中的网页,网页未作验证。恶意网页可以执行 JavaScript 反过来调用 App 中注册过的方法,或者使用资源。利用:恶意程序嵌入 Web App,然后窃取用户信息。恶意网页远程调用 App 代码。更有甚者,通过 Java Reflection 调用 Runtime 执行任意代码。建议:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用时对输入进行验证。

6. 其他漏洞ROOT 后的手机可以修改 App 的内购,或者安装外挂 App 等。Logcat 泄露用户敏感信息。恶意的广告包。利用 next Intent。

关于网络安全小知识,本站小编为您介绍和普及这么多了,看完上面的介绍,您对“安卓系统漏洞有哪些”这个问题了解多少了呢?综上我们可以了解到,安卓系统漏洞的存在会影响到手机甚至是电脑的使用效果,所以一定要尽快修复才行。


本站资源来自互联网,仅供学习,如有侵权,请通知删除,敬请谅解!
搜索建议:安卓系统漏洞有哪些  安卓  安卓词条  漏洞  漏洞词条  哪些  哪些词条  系统  系统词条  
信息邮箱密码

 邮箱账号被盗有哪些危害

如果我们的邮箱账号被盗。别人就可以随意地进入我们的邮箱,随意地查看邮件,那么会给我们带来潜在的危害。那么邮箱账号被盗有哪些危害呢?企业信息泄露会造成哪些重大损失...(展开)