So besprechen Sie kurz die Sicherheitsprobleme von APP

1 Hintergrundanalyse

Als das Internet-Zeitalter kam, beklagten die Menschen einst, dass alles digitalisiert würde. Heute ist alles mobil. In den Straßen und Gassen waren die Menschen damit beschäftigt, mit gesenktem Kopf über ihre Bildschirme zu wischen. Daten von ausländischen maßgeblichen Institutionen zeigen, dass chinesische Smartphones 96 % des gesamten Mobiltelefonumsatzes ausmachen und traditionelle Feature-Phones praktisch aus der Geschichte verschwunden sind. Laut einem aktuellen Bericht von eMarketer, einem amerikanischen Marktforschungsunternehmen, zeigen Daten von Gartner, einem renommierten Marktforschungsunternehmen, dass in China 96 % der Mobiltelefonverkäufe auf Smartphones entfallen, während in den USA ebenfalls 96 % der Verkäufe ausfallen. Mit anderen Worten: Auf der Hardwareebene des mobilen Internets liegen China und die USA bereits auf dem gleichen Niveau.

Die Popularität von Smartphones hat die rasante Entwicklung mobiler Apps vorangetrieben. Derzeit können mobile Apps von Kommunikation und Chat, Buchung zum Mitnehmen, Ticketbuchung, Reisebuchung, Einkaufen, Durchsuchen von Nachrichten usw. bis hin zu Bankinvestitionen und Finanzmanagement sowie Krankenhäusern reichen B. Registrierung usw., Zahlungsvorgänge usw., die täglichen Aktivitäten einer Person können grundsätzlich über Mobiltelefone erledigt werden. Aufgrund der enormen Beliebtheit von Apps haben viele Softwareentwickler die Vorteile dieses Marktes erkannt. Aufgrund der Gewinne entstehen nacheinander verschiedene Apps, und auch der App-Markt ist gemischt. Da die Sicherheit von Instant-Apps nicht vollständig gewährleistet werden kann, kam es in den letzten Jahren sehr häufig zu Vorfällen, bei denen personenbezogene Daten durch Apps verloren gingen.

Durch Big-Data-Analyse sieht die Statistiktabelle häufig verwendeter Apps auf Mobiltelefonen wie folgt aus:

Aus den Diagrammstatistiken ist nicht schwer zu erkennen, dass fast jedes Mobiltelefon über Chat, Videounterhaltung, Shopping und mehr verfügt verwandte Apps installiert. Wie funktionieren diese Apps auf Mobiltelefonen? Welche Informationen werden unwissentlich vom Mobiltelefon abgerufen?

2 Häufige Sicherheitsprobleme mobiler Apps

Mit der Entwicklung der Technologie sind die Funktionen von Mobiltelefonen weitaus vielfältiger geworden. Die Ära der Big Data ist angebrochen, und auch hier ist die Ära des Smart Home Internet of Things angebrochen ist die Android-App, also apk. Laden Sie zur Analyse ein beliebiges APK herunter, ändern Sie das Suffix in tar, und Sie können einige apk-bezogene Dateien anzeigen. AndroidManifest.xml ist die Eintragsdatei der Android-Anwendung Beschreibt hauptsächlich die im Installationspaket bereitgestellten Komponenten und Klassen, softwarebezogene Leseberechtigungen usw. Im Folgenden finden Sie die Details der AndroidManifest.xml-Datei, die Sie hier erhalten können:

Durch die spezifische Analyse der AndroidManifest.xml-Datei können Sie feststellen, dass die von der aktuellen App erhaltenen Mobiltelefonberechtigungen wie folgt sind folgt:

Zu den Hauptberechtigungen gehören das Lesen des Telefonstatus, das Tätigen von Anrufen, das Lesen von Kontakten, das Ändern globaler Systemeinstellungen, das Erstellen von Bluetooth-Verbindungen, das Erlauben der Positionierung und das Erlauben des automatischen Starts beim Booten und andere damit verbundene Berechtigungen. Wenn Benutzer bei der Verwendung der Anwendung den Standardinstallationsmodus auswählen, können ihre persönlichen Daten offengelegt werden.

Jeder, der mit der Android-Entwicklung vertraut ist, weiß, dass Android-Anwendungen aus vier Hauptkomponenten bestehen, nämlich Aktivität, Service, ContentProvider und BroadcastReceiver.
Lassen Sie uns zunächst über die Aktivitätskomponente sprechen. Die Kommunikation zwischen Aktivitätskomponenten erfolgt über Intent, das eine visuelle Schnittstelle für Benutzervorgänge anzeigt. Eine Android-Anwendung muss über die Aktivitätskomponente ausgeführt und gestartet werden. Obwohl die Anwendungen unabhängig voneinander sind, können sie über die Aktivitätskomponenten in der App kommunizieren, anrufen, darauf zugreifen usw. Die Aktivitätskomponenten der App sind wie folgt:

Sie können durch Analyse von gefunden werden Die APK gibt an, dass ihre Eintragsaktivitätskomponente com.meiyou.pregnancy.ui.welcome.WelcomeActivity ist. Die App ruft beim Start andere Aktivitätskomponenten auf. Wenn die Aktivitätskomponente exportiert werden kann, kann sie von einer Drittanbieter-App beliebig aufgerufen werden. Dies führt zum Verlust vertraulicher Informationen und zu möglichen Risiken wie der Einschleusung von bösartigem Code und der Übernahme von Seiten.

BroadcastReceive ermöglicht es der Anwendung, externe Ereignisse zu filtern und nur erforderliche Ereignisse zu empfangen und darauf zu reagieren. Sie verfügt über keine Benutzeroberfläche, kann jedoch eine Aktivität oder einen Dienst starten, um auf die empfangenen Informationen zu reagieren und so verschiedene Komponenten zu kommunizieren verschiedene Anwendungen Wenn die App zum ersten Mal gestartet wird, instanziiert das System automatisch NotificationProxyBroadcastReceiver und registriert es im System. Bei der Registrierung einer dynamischen Übertragung ist ein Abmeldevorgang erforderlich, da sonst Speicherverluste auftreten können. Eine wiederholte Registrierung oder Abmeldung ist nicht zulässig.

Service ist ein Hintergrunddienst und muss in AndroidManifest.xml deklariert werden. Die APK für diesen Test wird wie folgt in AndroidManifest.xml deklariert:

#🎜 🎜## 🎜🎜#
Der Dienst ist unabhängig von der Aktivitätskomponente und führt einige Vorgänge im Hintergrund aus. Wenn Sie beispielsweise regelmäßig Daten vom Server abrufen müssen, müssen Sie hierfür den Dienst verwenden Zeit.

Zusätzlich zu den Sicherheitslücken in den vier Hauptkomponenten treten beim Aufrufen der Weboberfläche auch verschiedene Web-Schwachstellen auf, wie z. B. SQL-Injection-Schwachstellen, XSS-Schwachstellen, Override, Unauthorized und andere verwandte Schwachstellen Screenshot ist ein Durch Tests wurde festgestellt, dass das HTTP-Anforderungspaket der App in seinem Post-Paket eine Schwachstelle für unbefugten Zugriff enthielt, die es Benutzern ermöglichte, über einen bestimmten Parameter die Kontoinformationen anderer Personen anzuzeigen.

Kurz gesagt, es gibt viele Orte, an denen App-Schwachstellen auftreten können, und es gibt viele Orte, die unsere Aufmerksamkeit verdienen, z. B. ob Daten werden während der Übertragung verschlüsselt, ob die Daten im lokalen Speicher verschlüsselt sind, ob die durch die Absicht gestartete Aktivitätskomponente sicher ist usw.

3 Sicherheitsvorschläge

Es gibt so viele Apps, dass Benutzer immer noch keine Sicherheitsüberprüfungen an der App durchführen können. Wie können wir also verhindern, dass persönliche Daten gefährdet werden? zur App? Was ist mit Leaks?

l Zunächst wird empfohlen, die App über reguläre Kanäle herunterzuladen, um zu verhindern, dass die heruntergeladene App geändert und kompiliert wird und nicht die Originalanwendung Es gibt keine besonderen Anforderungen, es wird nicht empfohlen, das Mobiltelefon zu verwenden. Root-Verarbeitung durchführen;

Bitte achten Sie bei der Installation einer Anwendung auf die erforderlichen Öffnungsberechtigungen und deaktivieren Sie unnötige Berechtigungen, wie z. Lesen von Mobiltelefonkontakten usw #l Aktualisieren Sie relevante Apps regelmäßig, um Fehler in alten Versionen zu beheben.

Das obige ist der detaillierte Inhalt vonSo besprechen Sie kurz die Sicherheitsprobleme von APP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!