包簽名 - （非原始簽名說(shuō)明包被修改過，可能被植入木馬）

CVE-2017-13156（Janus簽名）

調(diào)試證書使用 -（1.無(wú)法在應(yīng)用市場(chǎng)上架,2.影響迭代更新）

為Debug或Android說(shuō)明使用的調(diào)試證書

應(yīng)用加殼

SO文件加殼

啟動(dòng)隱藏服務(wù)風(fēng)險(xiǎn)

全局異常檢測(cè)

啟用VPN服務(wù)檢測(cè)

系統(tǒng)權(quán)限使用

Android.permission.INSTALL_PACKAGES  #允許程序安裝應(yīng)用
Android.permission.WRITE_SECURE_SETTINGS    #讀寫系統(tǒng)敏感設(shè)置
Android.permission.MOUNT_FORMAT_FILESYSTEMS   #格式化文件系統(tǒng)
Android.permission.MOUNT_UNMOUNT_FILESYSTEMS  #在sd卡內(nèi)創(chuàng)建和刪除文件權(quán)限
Android.permission.RESTART_PACKAGES   #結(jié)束系統(tǒng)任務(wù)

ProtectionLevel權(quán)限

sharedUserid檢測(cè)

master key漏洞

allowBackup

debuggable

模擬器權(quán)限 - 用戶位置任意篡改

測(cè)試模式發(fā)布

組件 - Activity

類型:DDOS | 信息泄露

組件 - Service

類型:DDOS | 信息泄露

組件 - Receiver

類型:DDOS | 信息泄露

組件 - provider

類型:信息泄露 | 目錄遍歷 | SQL注入（uri搜索 - addURI）|任意文件讀寫

debug/test敏感組件信息泄露

組件功能未實(shí)現(xiàn)引發(fā)DDOS

Intent-based

PendingIntent誤用Intent

Intent敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)

Fragment注入

風(fēng)險(xiǎn)：導(dǎo)致本地拒絕服務(wù)漏洞，fragment 注入攻擊可導(dǎo)致應(yīng)用的敏感信息泄露、遠(yuǎn)程代碼執(zhí)行

動(dòng)態(tài)注冊(cè)廣播風(fēng)險(xiǎn)

風(fēng)險(xiǎn):越權(quán)|信息泄露|DDOS

WebView遠(yuǎn)程執(zhí)行

WebView XSS

WebView明文存儲(chǔ)密碼

WebView組件忽略SSL證書驗(yàn)證錯(cuò)誤

風(fēng)險(xiǎn)：劫持 | 用戶敏感信息泄露

WebView系統(tǒng)隱藏接口未移除

CVE-2012-663

CVE-2014-1939

WebView組件克隆應(yīng)用

風(fēng)險(xiǎn)：遠(yuǎn)控

數(shù)據(jù)庫(kù)任意讀寫

SharedPreference全局讀寫

風(fēng)險(xiǎn)：用戶敏感信息泄露

內(nèi)部文件全局讀寫

HTTPS未校驗(yàn)主機(jī)名

風(fēng)險(xiǎn)：劫持

HTTPS 未校驗(yàn)服務(wù)器證書

風(fēng)險(xiǎn)：劫持

getDir數(shù)據(jù)全局可讀寫

隨機(jī)數(shù)不安全使用風(fēng)險(xiǎn)

發(fā)送廣播信息泄漏風(fēng)險(xiǎn)

剪貼板信息泄露風(fēng)險(xiǎn)

SD卡數(shù)據(jù)泄漏風(fēng)險(xiǎn)

資源文件泄露風(fēng)險(xiǎn)

URL敏感信息檢測(cè)

外部加載dex

外部加載so

日志數(shù)據(jù)泄漏風(fēng)險(xiǎn)

弱加密檢測(cè)

RSA加密算法不安全使用風(fēng)險(xiǎn)

Java代碼混淆檢測(cè)

證書明文存儲(chǔ)風(fēng)險(xiǎn)

SO未使用編譯器堆棧保護(hù)風(fēng)險(xiǎn)

惡意可執(zhí)行程序感染漏洞

應(yīng)用運(yùn)行其它可執(zhí)行程序風(fēng)險(xiǎn)

應(yīng)用Root設(shè)備運(yùn)行風(fēng)險(xiǎn)

截屏攻擊風(fēng)險(xiǎn)

本地端口開放越權(quán)

FFmpeg任意文件讀取

風(fēng)險(xiǎn):可以訪問手機(jī)中任意文件，導(dǎo)致用戶信息泄露

代碼保護(hù)不足

未混淆

未加固

代碼中編寫測(cè)試賬戶信息

密鑰硬編碼

　　　對(duì)密鑰離散存儲(chǔ)于資源文件中，并動(dòng)態(tài)加載使用

服務(wù)端證書檢測(cè) -測(cè)試客戶端程序是否嚴(yán)格檢查服務(wù)器端證書信息，避免用戶訪問釣魚網(wǎng)站后，泄露密碼等敏感信息。SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER為忽略證書驗(yàn)證

對(duì)SSL證書進(jìn)行強(qiáng)校驗(yàn)，包括證書是否合法、主機(jī)域名是否合法和證書的有效期。修改Allow_all_hostname_verfier

Janus安卓簽名漏洞

將App升級(jí)到最新的SignatureschemeV2簽名機(jī)制；

開發(fā)者及時(shí)校驗(yàn)App文件的開始字節(jié)，以確保App未被篡改。

WebView漏洞
    Android 4.2之前版本對(duì)addJavascriptInterface的輸入?yún)?shù)進(jìn)行過濾；
    Android 4.2及之后版本，使用聲明@JavascriptInterface來(lái)代替addjavascriptInterface
    控制相關(guān)權(quán)限或者盡可能不要使用js2java的bridge

隨機(jī)數(shù)加密破解漏洞

Intent協(xié)議解析越權(quán)漏洞

KeyStore漏洞

SQL注入漏洞
　　參數(shù)化
   預(yù)編譯
   過濾

公共組件漏洞

組件Content Provider配置錯(cuò)誤，導(dǎo)致數(shù)據(jù)泄漏

組件Activity配置錯(cuò)誤，導(dǎo)致登錄頁(yè)面被繞過

組件Service配置錯(cuò)誤，導(dǎo)致非法權(quán)限提升

組件Broadcast Receiver配置錯(cuò)誤，導(dǎo)致拒絕服務(wù)、非法越權(quán)

應(yīng)用配置錯(cuò)誤

關(guān)閉allowbackup備份

關(guān)閉Debuggable屬性，防止應(yīng)用信息篡改泄露風(fēng)險(xiǎn)

數(shù)據(jù)安全

SQLLite讀取權(quán)限安全性
創(chuàng)建應(yīng)用內(nèi)部存儲(chǔ)文件時(shí)，調(diào)用了openOrCreateDatabase，并將訪問權(quán)限設(shè)置為MODE_WORLD_READABLE或者M(jìn)ODE_WORLD_WRITEABLE

私有文件泄露風(fēng)險(xiǎn)
創(chuàng)建應(yīng)用內(nèi)部存儲(chǔ)文件時(shí)，調(diào)用了openFileOutput，并將訪問權(quán)限設(shè)置為MODE_WORLD_READABLE或者M(jìn)ODE_WORLD_WRITEABLE，若設(shè)備被root也可進(jìn)行讀寫。
    設(shè)置為MODE_PRIVATE模式

SharedPrefs任意讀寫漏洞
創(chuàng)建應(yīng)用SharedPreference時(shí)，調(diào)用了getSharedPreferences，并將訪問權(quán)限設(shè)置為MODE_WORLD_READABLE或者M(jìn)ODE_WORLD_WRITEABLE

日志泄露風(fēng)險(xiǎn)

cookie等用戶隱私被竊取

不要將不必要組件導(dǎo)出；如需導(dǎo)出，禁止使用File協(xié)議；如需使用File協(xié)議，禁止js執(zhí)行：setJavaScriptEnabled（False）
對(duì)file域下符號(hào)鏈接限制不當(dāng)，可導(dǎo)致cookie等用戶隱私被竊取

總結(jié)

以上是生活随笔為你收集整理的移动安全的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。