Bagaimana untuk membincangkan secara ringkas isu keselamatan APP

1 Analisis Latar Belakang

Apabila era Internet tiba, orang pernah mengeluh bahawa segala-galanya sedang didigitalkan. Hari ini, semuanya mudah alih. Di jalan-jalan dan lorong-lorong, orang ramai sibuk meleret skrin mereka dengan kepala ke bawah. Data daripada institusi berwibawa asing menunjukkan bahawa telefon pintar China telah menyumbang 96% daripada jumlah jualan telefon mudah alih, dan telefon ciri tradisional pada dasarnya telah pudar daripada peringkat sejarah. Menurut laporan baru-baru ini oleh eMarketer, syarikat penyelidikan pasaran Amerika, data daripada Gartner, organisasi penyelidikan pasaran yang berwibawa, menunjukkan bahawa di China, telefon pintar menyumbang 96% daripada jualan telefon mudah alih, manakala Amerika Syarikat juga menyumbang 96%. Dalam erti kata lain, pada tahap perkakasan Internet mudah alih, China dan Amerika Syarikat sudah berada pada tahap yang sama.

Kepopularan telefon pintar telah menggalakkan perkembangan pesat aplikasi mudah alih Pada masa ini, apl mudah alih boleh terdiri daripada komunikasi dan sembang, tempahan bawa pulang, tempahan perjalanan, membeli-belah, menyemak imbas berita, dll. kepada pelaburan perbankan dan. pengurusan kewangan, pendaftaran hospital, transaksi pembayaran, dll. Aktiviti harian seseorang pada asasnya boleh diselesaikan dengan bergantung pada telefon bimbit. Kerana populariti apl yang besar, ramai pembangun perisian telah melihat faedah yang dibawa oleh pasaran ini Didorong oleh keuntungan, pelbagai aplikasi muncul satu demi satu, dan pasaran aplikasi juga merupakan beg bercampur. Memandangkan keselamatan apl segera tidak dapat dijamin sepenuhnya, insiden kebocoran maklumat peribadi telah berlaku dengan kerap melalui apl dalam beberapa tahun kebelakangan ini.

Melalui analisis data besar, jadual statistik apl yang biasa digunakan pada telefon mudah alih adalah seperti berikut:

Tidak sukar untuk melihat daripada statistik carta bahawa hampir setiap telefon bimbit dilengkapi dengan sembang, hiburan video, membeli-belah dan aplikasi lain yang berkaitan Jadi bagaimanakah aplikasi ini berfungsi pada telefon mudah alih? Apakah maklumat yang akan diperolehi daripada telefon bimbit tanpa disedari?

2 Isu keselamatan biasa apl mudah alih

Dengan perkembangan teknologi, fungsi telefon mudah alih jauh lebih banyak daripada ini Era data besar telah tiba, dan era rumah pintar Internet of Things juga telah mengikuti , di sini kami menggunakan apl atau apk Android untuk analisis Muat turun mana-mana apk dan ubah suai akhirannya kepada tar untuk melihat beberapa fail berkaitan apk

AndroidManifest.xml Ia ialah fail masukan untuk aplikasi Android Ia menerangkan terutamanya komponen yang didedahkan dalam pakej pemasangan, pelaksanaan setiap kelas dan kebenaran membaca perisian yang berkaitan. Berikut ialah butiran fail AndroidManifest.xml yang anda boleh dapatkan di sini:

Dengan analisis khusus fail AndroidManifest.xml, anda boleh mengetahui apl semasa Kebenaran telefon mudah alih yang diperoleh adalah seperti berikut:

Kebenaran utama termasuk membenarkan membaca status telefon, membenarkan membuat panggilan, membenarkan membaca kenalan dan membenarkan untuk mengubah suai Tetapan global sistem, membenarkan penciptaan sambungan Bluetooth, membenarkan kedudukan, membenarkan permulaan automatik semasa but, dan kebenaran lain yang berkaitan. Jika pengguna memilih mod pemasangan lalai semasa menggunakan aplikasi, maklumat peribadi mereka mungkin terdedah.

Semua orang yang biasa dengan pembangunan Android tahu bahawa aplikasi Android mempunyai empat komponen utama, iaitu Aktiviti, Perkhidmatan, Penyedia Kandungan dan Penerima Siaran.

Mari kita bincangkan tentang komponen aktiviti dahulu Komunikasi antara komponen aktiviti adalah melalui Intent, yang memaparkan antara muka visual untuk operasi pengguna Aplikasi Android mesti dijalankan dan dimulakan melalui komponen aktiviti. Walaupun Aplikasi adalah bebas antara satu sama lain, mereka boleh berkomunikasi, memanggil, mengakses, dsb. melalui komponen aktiviti dalam apl Komponen aktiviti apl adalah seperti berikut:

Analisis Pas apk menunjukkan bahawa komponen aktiviti kemasukannya ialah com.meiyou.pregnancy.ui.welcome.WelcomeActivity Apl memanggil komponen aktiviti lain apabila komponen aktiviti boleh dieksport, ia boleh dipanggil dengan sewenang-wenangnya oleh apl pihak ketiga , kebocoran maklumat sensitif juga mungkin tertakluk kepada risiko seperti pintasan pengesahan, suntikan kod berniat jahat dan rampasan halaman.

BroadcastReceive membenarkan aplikasi menapis acara luaran dan hanya menerima dan bertindak balas kepada acara yang diperlukan, tetapi boleh memulakan aktiviti atau perkhidmatan bertindak balas kepada maklumat yang diterima, membenarkan komunikasi antara komponen yang berbeza atau aplikasi yang berbeza Apabila apl dimulakan buat kali pertama, sistem akan secara automatik melakukan NotificationProxyBroadcastReceiver dan mendaftarkannya dalam sistem. Operasi log keluar diperlukan semasa mendaftarkan siaran dinamik, jika tidak, kebocoran memori mungkin berlaku pendaftaran berulang atau log keluar tidak dibenarkan.

Perkhidmatan perkhidmatan ialah perkhidmatan latar belakang Apabila menggunakan perkhidmatan perkhidmatan, ia perlu diisytiharkan dalam AndroidManifest.xml APK untuk ujian ini diisytiharkan seperti berikut dalam AndroidManifest.xml,

Perkhidmatan adalah bebas daripada komponen aktiviti dan menjalankan beberapa operasi di latar belakang Contohnya, apabila anda perlu mendapatkan data daripada pelayan secara kerap, anda perlu menggunakan perkhidmatan pada masa ini.

Selain kelemahan keselamatan dalam empat komponen utama, pelbagai kerentanan web juga akan muncul apabila memanggil antara muka web, seperti kelemahan suntikan SQL, kelemahan XSS, mengatasi, tidak dibenarkan dan kelemahan lain yang berkaitan Tangkapan skrin itu daripada paket data permintaan http, dan melalui ujian didapati bahawa paket data pos mengandungi kelemahan akses tanpa kebenaran Anda boleh menggunakan parameter tertentu untuk melihat maklumat akaun orang lain tanpa kebenaran.

Ringkasnya, terdapat banyak tempat di mana kelemahan apl mungkin muncul dan terdapat banyak tempat yang patut diberi perhatian kami, seperti sama ada data disulitkan semasa penghantaran dan sama ada data disimpan secara setempat Sama ada ia disulitkan, sama ada selamat untuk memulakan komponen aktiviti dengan niat, dsb.

3 Cadangan Keselamatan

Dengan begitu banyak apl, pengguna biasa masih tidak dapat melakukan semakan keselamatan pada apl itu, jadi bagaimanakah kita harus menghalang maklumat peribadi daripada dibocorkan disebabkan oleh apl tersebut?

l Pertama sekali, adalah disyorkan untuk memuat turun aplikasi melalui saluran biasa untuk mengelakkan aplikasi yang dimuat turun daripada diubah suai dan disusun dan bukan aplikasi asal; , tidak disyorkan untuk mengakar telefon;

Apabila memasang aplikasi, sila beri perhatian kepada kebenaran terbuka yang diperlukan dan matikan kebenaran yang tidak diperlukan, seperti maklumat lokasi, membaca kenalan telefon mudah alih, dll.

l boleh dipasang pada telefon anda Perisian anti-virus yang sesuai, kerap mengimbas dan membersihkan perisian tidak berguna, pakej program, dll.

Atas ialah kandungan terperinci Bagaimana untuk membincangkan secara ringkas isu keselamatan APP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!