避免踩坑:易盾安全老司机起底Android九大漏洞,附解决建议! |
您所在的位置:网站首页 › mode_world_writeable › 避免踩坑:易盾安全老司机起底Android九大漏洞,附解决建议! |
Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,网易云易盾资深安全工程师徐从祥为大家详细解读常见九大的Android漏洞,供各位学习参考。(如果下面干货内容没有让各位尽兴,欢迎来官网申请相关产品试用,面对面交流,保证解决你的安全难题。) 第一大类:Android Manifest配置相关的风险或漏洞 程序可被任意调试 风险详情:安卓应用apk配置文件Android Manifest.xml中android:debuggable=true,调试开关被打开。 危害情况:app可以被调试。 修复建议:把Android Manifest.xml配置文件中调试开关属性关掉,即设置android:Debugable="false"。 程序数据任意备份 风险详情:安卓应用apk配置文件AndroidManifest.xml中android:allowBackup=true,数据备份开关被打开。 危害情况:app应用数据可被备份导出。 修复建议:把AndroidManifest.xml 配置文件备份开关关掉,即设置android:allowBackup="false"。 组件暴露:建议使用android:protectionLevel="signature" 验证调用来源。 Activity组件暴露 风险详情:Activity组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,activity被认为是导出的,可通过设置相应的Intent唤起activity。 危害情况:黑客可能构造恶意数据针对导出activity组件实施越权攻击。 修复建议:如果组件不需要与其他app共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “false”。如果组件需要与其他app共享数据或交互, 请对组件进行权限控制和参数校验。 Service组件暴露 风险详情:Service组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,Service被认为是导出的,可通过设置相应的Intent唤起Service。 危害情况:黑客可能构造恶意数据针对导出Service组件实施越权攻击。 修复建议:如果组件不需要与其他app共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “false”。如果组件需要与其他app共享数据或交互, 请对组件进行权限控制和参数校验。 ContentProvider组件暴露 风险详情:Content Provider组件的属性exported被设置为true或是Android API |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |