1.高危 Intent Scheme URL攻擊

詳情：惡意頁面可以通過Intent scheme URL執行基于Intent的攻擊

建議：將Intent的component/selector設置為null

2.高危 WebView應用克隆風險

詳情：APP使用WebView訪問網絡，當開啟了允許JS腳本訪問本地文件，一旦訪問惡意網址，存在被竊取APP數據并復制APP的運行環境，造成“應用克隆”的后果，可能造成嚴重的經濟損失。

建議：建議禁用setAllowFileAccessFromFileURLs和setAllowUniversalAccessFromFileURLs；若需要允許JS訪問本地文件，則應使用白名單等策略進行嚴格的訪問控制。

3.高危 不安全Zip文件解壓

詳情：zip壓縮包中的文件名中可以包含“/”所以如果文件名字是包含多個“../”就會造成文件被惡意放置，覆蓋掉APP原有的文件

建議：對 ZipEntry.getName() 字段進行 ../ 篩查

4.高危 進程注入

詳情：Android 系統使用的是 Linux 內核，進程間是弱相互作用，可以在應用進程空間內創建線程來加載自定義的 .so 文件，也就是進程注入。具體的實現依賴于 linux 下的 ptrace() 函數，將客戶端進程作為我們自定義進程的子進程，操作客戶端進程的寄存器和內存，來運行加載自定義的 .so 文件，將 .so 鏈接到客戶端進程，最后讓客戶端進程的執行流程跳轉到自定義的.so。總結來講，如果Android 客戶端沒有對進程進行有效的保護，攻擊者就可以向從 Native 層面向客戶端進程遠程加載任意 .so 鏈接庫，從而侵入客戶端進程的進程空間，以搜索、篡改敏感內存或干涉客戶端的執行過程。

建議：1、ptrace 附加失敗。2、修改 linker 中的 dlopen 函數，防止第三方 so 加載。3、定時檢測應用加載的第三方 so 庫，如果發現是被注入的 so，卸載加載的 so

5.高危 服務端證書弱校驗

詳情：使用HTTPS協議時，客戶端必須驗證服務器是真實合法的目標服務器。Android默認的HTTPS證書驗證機制不接受不可信的連接，因而是安全的，但Android允許開發者重定義證書驗證方法。當自定義的X509TrustManager類，未檢查證書是否合法時，會存在客戶端與仿冒服務器通訊的風險，可能導致賬號、密碼等敏感信息被竊取，甚至通信內容被篡改。

建議：利用X509TrustManager子類中的checkServerTrusted函數，校驗服務器端證書的合法性

6.中危 WebView同源策略繞過

詳情：JavaScript的延時執行能夠繞過file協議的同源檢查，從而夠訪問受害應用的所有私有文件。通過WebView對Javascript的延時執行，將當前Html文件刪除掉并軟連接指向其他文件就可以讀取到被符號鏈接所指的文件，然后通過JavaScript再次讀取HTML文件，即可獲取到被符號鏈接所指的文件。惡意應用通過該漏洞，可在無特殊權限下盜取應用的任意私有文件。比如瀏覽器應用存在此漏洞，可獲取到的信息，包括但不限于，保存的密碼、Cookie、收藏夾以及歷史記錄等。

建議：1、不必要導出的組件設置為不導出，建議顯式設置所注冊組件的“android:exported”屬性為false。2、對于需要導出包含WebView的組件，建議禁止使用File域協，webView.getSettings. setAllowFileAccess(false)。3、如需使用File域協議，建議禁止File域協議調用JavaScript，webView.getSettings. setJavaScriptEnabled(false)

7.中危 隱式Intent劫持

詳情：APP使用隱式的Intent，存在被惡意三方APP釣魚的風險

建議：盡量使用顯式Intent

8.中危 殘留URL

詳情：APP 中殘留開發或測試階段使用的 URL 地址時，存在被攻擊者當做攻擊目標的風險。

建議：移除APP 中的 URL 地址 。

9.中危 動態注冊BroadcastReceiver風險

詳情：APP使用動態BroadcastReceiver時，未對廣播增加權限控制，可以被任意外部應用訪問，存在數據泄漏或是越權調用等風險

建議：在AndroidManifest.xml文件中聲明廣播權限，在注冊廣播時限制相同的action應用夠使用此廣播。

10.中危 不安全哈希算法

詳情：android系統提供Hash算法簽名重要數據，當應用使用MD5/SHA-1計算重要數據的哈希值時，更容易遭到碰撞攻擊。攻擊者利用碰撞攻擊的方式，逆向獲取Hash簽名的重要數據

建議：使用SHA-256哈希算法

11.中危 主機名弱校驗

詳情：使用HTTPS協議時，客戶端必須驗證服務器是真實合法的目標服務器。Android默認的HTTPS證書驗證機制不接受不可信的連接，因而是安全的，但Android允許開發者重定義證書驗證方法。當自定義的HostnameVerifier類，未檢查證書中的主機名與使用該證書的服務器的主機名是否一致或被配置為接受任何服務器主機名時，會存在客戶端與仿冒服務器通訊的風險，可能導致賬號、密碼等敏感信息被竊取，甚至通信內容被篡改。

建議：利用HostnameVerifier子類中的verify函數，校驗服務器主機名的合法性

總結

以上是生活随笔為你收集整理的android安全 报告,Android安全检测报告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。