• 慈善实践与新时代道德建设 2019-05-25
  • 葡萄牙首都上演城市节狂欢 2019-05-25
  • 男子农田挖到古董抠出吓得魂飞魄散 2019-05-25
  • 省会中山路部分路段快车道预计17日通车 2019-05-24
  • 长治职业技术学院“学习新思想千万师生同上一堂课活动”首场授课开讲 2019-05-24
  • [雷人]中国人啥不炒?古董、字画、票证、君子兰、普洱茶、大蒜……凡是有较长保存时间的东西,都有人炒! 2019-05-24
  • 培养细则出炉 士官参谋终于不再是板凳队员了 2019-05-24
  • 山西晋中学院制定办法规范在线课程 2019-05-23
  • 探访上合新闻中心:29个工作组保障新闻中心运行 2019-05-23
  • “东方·亮”:中国光影与红木艺术闪耀悉尼 2019-05-22
  • 搞好纪法贯通,依规依法依纪履职 2019-05-22
  • 云南佛协秘书长康南山:对南传佛教工作的几点思考 2019-05-22
  • 比利时VS巴拿马首发公布 卡拉拉斯、维特塞尔中超双子星在列 2019-05-21
  • 海信世界杯首秀出奇招 竟打出俄文广告 2019-05-21
  • 山东高考:综招考试不再扎堆 考生最多可考4场  2019-05-21
  • 知识改变命运 学习成就未来!

    河南快赢481视频哪里看:河南快赢481基本走势

    010-53652048

    安卓应用常见的几种应对恶意攻击的解决方案

    文章来源:博雅环球教育      浏览次数:次      更新时间:2018-11-16 10:21:59
    摘要:你在使用安卓手机吗? 你的手机会不会经常出现垃圾短信以及令你反感的推送信息? 你的手机会不会直接死机黑屏? 你的手机可能中毒了?。?! 让我们一起分析一下

    河南快赢481基本走势 www.hdhob.tw 安卓应用现状

     

    首先我们来看一下官方发布的数据,国家互联网应急响应中心对所有的移动平台进行统计后,发现安卓平台的用户是最容易受到攻击的,而且恶意的程序高达99.9%。这主要是由于安卓的本身开源开放的机制导致的,同时近些年来安卓的用户量逐年增高,让大家看到的利益,从而引来了越来越多的攻击者。
     


     

    这是我们内部审计发现的一些数据,在经过仔细的排查,发现很多应用普遍都会存在一些漏洞。而少部分应用会在他们不知情或者是故意的情况下,带有一些病毒和恶意的行为。

     

    Android应用常见问题及解决方案

     

    接下来会给大家介绍下我们今年发现了一些漏洞,其实说漏洞还是有些不恰当,它更像是四个攻击面,包括组件问题、url绕过、中间人攻击、Webview漏洞,尽管这几个问题看起来非常简单,但是在手机上包括一些主流APP上却是非常的常见。

     

    组件问题

     

    对于组件问题,如果单论存在的原因,可能在安卓建立之初它就存在了。组件暴露其实是一个非常正常的事情,但是不正常的就在于很多开发者喜欢把一些没有开发完的代码也随着应用发布出去,他们可能觉得这些部分跟其他的组件或者界面没有太大关联,用户无法接触到这些界面。但是实际上如果设置了组件暴露,攻击者就可以轻松的攻击应用,包括调用隐藏功能,开启后门,拒绝服务等。

     

    组件暴露,如果含有权限,而且没有设置?;?这里的权限不仅仅是传统意义上的那种谷歌定义的高权限行为),攻击者就可以在在用户不知情情况下做一些事情,比如访问组件直接发短信,

     

    还有一种情况是应用设计逻辑上比较高危,比如我之前看到一款金融类的APP,它的设计就是先有一个输入密码的界面,类似于?;に?,通过?;に橹こ晒χ蟛趴梢越鹑谛畔⒄庋囊绞?。但是如果第二个界面组件暴露了,就可以不用锁直接绕过验证。
     


     

    下面介绍一个,今年某某社交软件发现的SDK的问题。这个问题大概是在今年7月份才修复,该社交软件,用户量大概有几个亿,审计发现有14000多个应用存在这种问题。

     

    问题出在一个有分享功能的SDK上, 这个SDK存在两个暴露的组件,其中一个组件的漏洞让攻击者可以访问到应用的任意私有组件,相当于绕过了谷歌的沙箱机制。另一个组件的漏洞不仅可以让然访问私有组件,还可以向组件传参数。它们主要造成了两个问题,一个是拒绝服务,一个是调用未授权界面(甚至后门)。

     

    URL绕过问题

     

    URl绕过问题也只能说是攻击面,不能说是漏洞。这块首先有一个路径遍历漏洞,一般问题应用或者SDK在大量使用路径url作为参数的情况下,如果不校验路径的合法性,就容易导致这个问题。安卓平台最典型的路径遍历漏洞就是 ZipEntry URl路径遍历问题,和传统web相同。

     

    另一个问题是url白名单绕过,随着联网应用的增多,大家都喜欢用webviwe组件去加载一个网页,那就需要加载url,而webviwe组件本身问题就非常的多,它权限中有很多敏感的行为,比如获取地理位置信息。

     

    在使用webview的时候,大多数开发者并不希望组件任何网页都加载,因此会实现一个白名单函数约束加载的网页,常见的约束函数有contains()、indexOf()、endwith()、getHost()等,由于约束机制都是人为实现的,因此会带来不安全的因素。

     

    url白名单可能存在的场景,包括安卓的scheme属性、暴露组件、一扫、评论、聊天输入。

     

    扫一扫的问题比较有意思,按照道理讲,通过扫二维码和直接网页点击的url,如果有白名单校验机制的话,应该是加载同一个白名单函数。但是可能由于团队架构设计的原因,导致两块分别由不同人负责,造成白名单校验机制也不一样,从而带来一些问题。

     

    中间人攻击

     

    中间人攻击其实也是历史悠久的问题,最早也是在web平台,不过现在因为安卓平台的网络连接越来越多,用户量越来越大,这个也是成为了安隐患非常大的问题。

     

    中间人攻击可以劫持应用发出的请求,返回用户不期望的东西。所有的http都可以被中间人攻击,因为它本身就是不安全的网络传输。

     

    https作为http的安全解决方案,如果实现的不够好,也有很多的漏洞。目前众所周知的漏洞位置由X509TrustManager、HostnameVerifier、setHostnameVerifier,对于场景分别是客户端不校验SSL证书或者校验逻辑有误;自定义实现HostnameVerifier接口,却不检查域名和证书域名是否匹配;直接使用接受任意域名的HostnameVerifier接口。

     

    Webvie漏洞

     

    Webview漏洞方面今年发现的,影响面最广,而且数量不断递增的就是JavaScript的接口暴露问题。目前市面上比较流行的,用了Webview组件的应用,大概有1/5都存在这种问题。

     

    我们某应用中供应商的SDK中就存在大量暴露的JavaScript接口,通过代码跟踪我们发现这个接口可以执行很多操作,包括发短信、打电话、下载应用等等功能,

     

     

    对于webview漏洞的解决方案主要是扫描代码中关键字,以上这些都是webview的一些配置,它们单独拿出来可能都不是什么问题,但是组合起来就会造成非常多的问题。

     

    Android应用问题及解决方案

     

    我们使用的应用里肯定有很多的隐私数据,例如的姓名,年龄、性别、身份证号等等信息,这些信息可以通过网络、SD卡存储、短信发送、NFC、蓝牙传输等各种方式泄露出去。

     

    那么作为一个开发者,要如何防范这些泄露呢,或者说保证自己开发的应用没有这些行为,其中就包括判断所引入的大量开源的SDK是否有恶意的行为。

     

    这里介绍一款工具——flowdroid,它是一款针对android app数据分析的工具。它实际上是分析了你的信息流所有可能的通过的路径,其中分为source跟sink,,source表示敏感数据、sink表示泄露点。

    挑战高薪!从博雅开始!

    150天0基础到精通,资深教师团队+配备高级服务器+军事化管理模式,采取纯小班面授,入学签订就业协议,保障薪资8K-30K,数百家企业合作,无缝对接!

    找工作难?工资低?门槛高?博雅你统统解决!河南快赢481基本走势欢迎你的咨询~

    现在加入可享5000元VIP课程免费学一月,云计算、大数据二选一。

    活动时间10月8日——10月25日,限额40人,分两班次同时教学。

    学完可得6月实习证明,推荐就业!!!

    18686025822(石老师)

    本周精华

    河南快赢481基本走势
  • 慈善实践与新时代道德建设 2019-05-25
  • 葡萄牙首都上演城市节狂欢 2019-05-25
  • 男子农田挖到古董抠出吓得魂飞魄散 2019-05-25
  • 省会中山路部分路段快车道预计17日通车 2019-05-24
  • 长治职业技术学院“学习新思想千万师生同上一堂课活动”首场授课开讲 2019-05-24
  • [雷人]中国人啥不炒?古董、字画、票证、君子兰、普洱茶、大蒜……凡是有较长保存时间的东西,都有人炒! 2019-05-24
  • 培养细则出炉 士官参谋终于不再是板凳队员了 2019-05-24
  • 山西晋中学院制定办法规范在线课程 2019-05-23
  • 探访上合新闻中心:29个工作组保障新闻中心运行 2019-05-23
  • “东方·亮”:中国光影与红木艺术闪耀悉尼 2019-05-22
  • 搞好纪法贯通,依规依法依纪履职 2019-05-22
  • 云南佛协秘书长康南山:对南传佛教工作的几点思考 2019-05-22
  • 比利时VS巴拿马首发公布 卡拉拉斯、维特塞尔中超双子星在列 2019-05-21
  • 海信世界杯首秀出奇招 竟打出俄文广告 2019-05-21
  • 山东高考:综招考试不再扎堆 考生最多可考4场  2019-05-21