《xx,android应用安全报告》由会员分享,可在线阅读,更多相关《xx,android应用安全报告(14页珍藏版)》请在金锄头文库上搜索。
1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划XX,android应用安全报告Android系统框架安全性评估及应对策略Android操作系统以开放性为主,无论是应用程序数字签名方式、权限控制、发布渠道、应用程序审核等都为开放性设计,这也在一定程度上带来了更多的风险,主要风险存在于“越狱”破解之后。总的来说,Android系统手机面临病毒、木马等恶意程序攻击的风险较高,更接近于目前PC环境。通过其安全机制可知,对于短信软件、WAP浏览器等均可以进行替换或者通过manifest机制为第三方应用程序授予资源访问权限,因此需要采用更多
2、的技术和管理措施防范安全风险。一、Android操作系统的框架:Android框架主要分为四层:应用层、应用程序框架层、系统运行库层、Linux核心层。在这四个层次上可以进行安全性分析。二、android系统安全机制分析1应用层:代码安全和接入权限1)代码安全:目前Android应用程序开发语言主要为Java,也可以通过Google发布的AndroidNDK工具集移植或者开发C/C+代码。与iPhone应用程序的主要语言Object-C不同,Java属于解释型语言,并不直接编译成二进制文件,这造成基于Java语言开发的应用程序较容易被反编译。应对方法:在应用程序中增加代码混淆等防止反编译措施;
3、同时,对于核心代码,建议开发C/C+程序。防止纯JAVA程序容易被第三方反编译风险。同时可以用混淆器,默认混淆器为proguard。2)接入权限:权限是Android平台安全机制核心,旨在允许或限制应用程序访问受限的API和资源。默认情况下,Android应用程序没有被授予权限,权限在安装期间通过manifest文件由应用程序请求。Android系统中权限分为普通级别、危险级别、签名级别和系统/签名级别。系统中所有预定义的权限根据作用的不同,分别属于不同的级别。也对应用的操作增加限制,防止恶意应用进行非法操作给用户造成敏感数据泄漏等。框架层可以自定义权限。应对方法:权限主要用来权限定义位置:f
4、rameworks/base/core/res/权限可用于整个应用、Activity、Service等这个是应用权限。2应用框架层:数字认证所有Android应用程序都必须进行数字签名。除了通过共用UserID进行数据共享的方式,使用相同数字签名签署的两个应用程序可以相互授予权限来访问基于签名的API。所有Android应用程序都必须被签名。应用程序或代码签名是一个这样的过程,即使用私有密钥数字地签署一个给定的应用程序,以便:?识别代码的作者?检测应用程序是否发生了改变?在应用程序之间建立信任基于这一信任关系,应用程序可以安全地共享代码和数据。使用相同数字签名签署的两个应用程序可以相互授予权限
5、来访问基于签名的API,如果它们共享用户ID,那么也可以运行在同一进程中,从而允许访问对方的代码和数据。也可以考虑增加电子密码器、动态口令卡等认证技术,指纹识别等。3系统运行库层:网络安全机制、数据库安全机制、虚拟机安全机制1)网络安全加密算法DES、3DES、RSA、MD5、RC2/RC4、IDEA、AES、BLOWFISH等Web服务三种手段WS-Security、SSL、数字签名。目前ksoap不支持WS-Security,TCP层SSL、TSL数据链路层WAPI。除了采取SSL加密通信外,对于SSL加密通道内的数据也要进行全量加密。2)数据库安全Android采用的SQLite目前采用
6、明文存储数据;安全涉及加密、读写、搜索等。数据库可以进行加解密和权限设置。3)虚拟机安全性Android系统可以简单地完成进程隔离和线程管理。每一个Android应用在底层都会对应一个独立的Dalvik虚拟机实例,其代码在虚拟机的解释下得以执行。通常情况下,应用间无法相互访问私有数据。访问数据的方法为:文件方式、数据库权限开放、配置文件开放、Intent通信。4Linux核心层:文件访问安全机制。Android在权限管理上应用了Linux的ACL权限机制。1)从分区层面讲:在系统运行时,最外层安全保护是由Linux系统提供的,其中所在的分区是只读的,不允许用户写入,而所在的分区是可读写的,用于
7、存放用户数据。分区的用户权限在中定义。2)单独文件层面讲:单独文件访问权限控制分群组、用户、权限。权限分可读、可写、可执行。a.文件基于UserID保护,只有具有相同UserID的应用程序才能访问相关文件。可以说,Android操作系统是在Linux内核基础上额外进行加固和限制的操作系统。在Linux中,一个UserID标识一个用户;在Android上,一个UserID标识一个应用程序。应用程序在安装时被分配UserID,应用程序在设备上的存续期间内,UserID保持不变。UserID不同,导致应用程序进程必然不同。b.应用程序进程在默认情况下,运行在沙箱进程中的应用程序没有被分配任何系统权限
8、,不同应用程序的进程之间也完全隔离。Android应用程序需要通过应用程序的manifest文件请求访问系统或资源的权限,也可以通过manifest文件设置android:sharedUserID属性值,使得该程序与其他使用相同私钥签名的应用程序使用相同的UserID,进而运行在同一进程中,以便共享对其数据和代码的访问,自建网站提供应用程序下载。2)通过第三方论坛、网站提供下载。3)在线商店。除了Google的在线商店还有许多在线商店,如亚马逊、天翼空间等。这些在线商店中,Google在线商店市场份额最多,由于审核机制的不完善造成应用程序存在安全风险。应对方法:1)在产品需求和设计阶段,严格限
9、制应用程序对外提供API、自定义权限等功能。防止针对应用程序控制权限不完善造成资源滥用风险。2)明确Android手机应用程序发布渠道,并对用户加强安全教育,避免从其他渠道获取假冒应用程序。防止发布渠道缺乏审核所带来的风险。XX年安卓APP安全漏洞分析报告XX年,CNNIC统计显示我国手机网民规模达亿,手机上网人群的占比提升至90%。随着移动端用户群体的快速扩张,除了一开始就注重移动市场的新互联网企业之外,传统企业也正不断提高对移动端的重视程度并加大投入,移动端市场的竞争呈现白热化趋势。截止XX年12月31日,安卓APP总体数量已超过140万。据YahooFlurry统计分析,XX年安卓APP
10、整体同比增长超过14%,其中面向细分市场的个性化APP爆炸性增长达332%。新闻杂志、商务理财和旅行出游等APP,XX年的增长率也超过100%。移动APP已经全面覆盖衣食住行,“指尖社会”的安全风险也随着急遽聚拢的财富而不断推高。不安全的“指尖社会”互联网的PC端安全经过十几年的实践,已经较为完善,但是移动端安全目前还是短板,传统的PC端安全防护措施无法有效保障移动端安全,作为移动端重要载体的APP因此安全事件频发。大量安全事件中,APP的安全漏洞被黑客作为攻击入口,通过侵入APP获取用户隐私以及企业数据库存储的数据,损坏用户和企业的利益,影响恶劣。XX年,APP安全事件泄露的信息以用户的姓名
11、、地址、账号、密码、手机号等信息为主,尤其金融理财和生活服务类的APP是安全事件爆发的重灾区。仅以乌云漏洞平台曝光的安全漏洞为例,XX年,超过10家知名APP被曝存在安全漏洞可导致超1000万用户隐私泄露,这些安全漏洞的种类不一,漏洞的利用攻击手法也不同,但是攻击的最终指向目标都是用户隐私及企业数据。触目惊心的安全现状,超9成APP含有安全漏洞截止XX年12月31日,网蛙科技对当前市场上129万个多类别的APP做了全面的漏洞扫描检测,检测结果显示,App漏洞总量超过1700万个,仅程序代码中硬编码开发者密码、SqlliteSQLlnject漏洞与ContentProviderSQLlnject
12、ion漏洞三类漏洞数量就超过918万个。据检测结果,129万多个被检测APP中,超过95%以上APP含有不同类型的安全漏洞,平均每个APP含个漏洞,高危漏洞比例达16%。XX年高中低危漏洞分布图1、APP九大行业榜单产品,平均漏洞数达到个网蛙科技根据XX的APP年度分类排行榜,经综合考虑,选取视频、理财、音乐、电商、新闻、社交、自拍、工具以及游戏九类APP榜单,共计90个APP产品进行了检测。据检测结果,90个APP榜单产品,漏洞总数达到847个,平均每个APP含有个漏洞。分行业计,游戏行业所含漏洞数最高,平均漏洞数目超过12个,安全隐患相对较大;金融理财、电商、社交这三个行业的平均漏洞数都接
13、近或超过10个,同样需要高度重视。这些被检测的APP中近70%面世时间达3-5年,具备成熟的市场口碑,当前用户规模和资产规模都高于同行业其他产品。它们高于普通APP的商业价值也更容易吸引黑产注意,如果遭遇安全事故,对APP有形的资产和无形的品牌都将造成严重损失。网蛙科技建议APP开发者们加强安全工作,切实提高产品的安全性,更好地维护APP用户利益和公司的品牌形象。2、应用商店安全检测不到位,无法完全保障上架APP安全网蛙科技对当前市场上两类应用商店的APP进行检测,分别为豌豆荚、应用宝、360手机助手等知名独立第三方应用商店,以及小米应用商店、华为应用市场等终端厂商自建的应用商店。据不完全统计
14、,截止XX年12月,手机应用商店漏洞总数超过1700万,单个应用商店最高漏洞数目超过493万个,其中第三方应用商店漏洞数目平均达到57万个,终端厂商自建的应用商店漏洞数目平均达到64万个,第三方应用商店的安全系数相对高于终端厂商自建的应用商店。据艾媒咨询,从当前市场APP下载情况来看,APP下载渠道占比最高的为第三方应用商店,其次为终端厂商自建的应用商店,这两大类应用商店是当前用户下载APP的主要渠道。由于APP已经实质性地触及个人财产信息与隐私信息等,用户对APP安全性的要求不断提高,与此同步上涨的是用户对应用商店安全工作的不满情绪。截止XX年12月,超过60%用户认为应用商店应该对商店内恶
15、意软件的出现负审核不严的责任。XX年,应用商店需要在安全能力提升方面做更多工作。部分手机应用商店APP漏洞检测结果3、19类行业漏洞检测,游戏和生活服务类APP危险系数最高网蛙科技对当前市场上包括金融理财、网络购物、商务办公等19类APP进行了分类漏洞统计。需警惕的是,直接涉及数据资产、用户隐私等高商业价值信息的行业,APP检测结果显示漏洞分布数目远高于其他行业。(来自:写论文网:XX,android应用安全报告)据检测结果,直接关联数据资产的APP行业漏洞数目最高,游戏类APP漏洞数目高达457万,生活服务类APP以250万的漏洞数目排名第二,购物、金融理财类APP漏洞数目均超过80万;直接关联用户隐私的APP漏洞数量也非常高,需要引起重视,社交、办公类APP漏洞数量分别达到139万和100万,而影音、教育类的APP漏洞数量也均超过50万。近几年由漏洞引发的APP安全事故已经表明,无论是哪个行业,漏洞对APP安全都具有“一票否决权”。安全是一切发展的基础,APP开发者需要加强安全工作,不可掉以轻心。XX年全行业APP漏洞分布图给移动APP漏洞防护的四点建议移动APP的安全问题涵盖开发、发布、维护
