android安全問題

㈠ Android應用商店的軟體安全性到底如何

俄亥俄州立大學帶領的一支研究團隊，剛剛在新研究中發現：

成千上萬款 Android 應用程序，似乎都包含著不可告人的隱藏後門 —— 表明惡意開發者仍在繼續將 Google Play 商店作為攻擊目標。

本次研究調查了 15 萬款應用程序，其中 2/3 來自谷歌官方的應用商店，另外一些則來自三星、網路等第三方應用商店。

【來自：ohio-state.e】

來自俄亥俄州立大學、紐約大學、以及亥姆霍茲信息安全中心的研究人員，對 15 萬款 Android 應用程序展開了細致且深入的調查。

研究人員指出，在 15 萬個 App 中，幾乎有 1.3 萬個存在後門行為（比如秘密訪問密鑰和主密碼）。

今年早些時候，數十個隱私倡導組織致信谷歌 CEO 桑達爾·皮查伊，以期減少預裝在設備上的過時軟體。

最後，新研究隨機選擇了 30 款至少具有百萬安裝量的應用，發現其中有一款竟然允許遠程登錄。

遺憾的是，Google Play 商店一直受到此類問題的困擾，且谷歌安全團隊經常只能被動地等待威脅公開後，才立即對惡意軟體採取行動。

只能說，比網上亂下載的要安全

但是！並不代表絕對安全！！

舉一個我最近遇到的事例

前幾天安裝了一個軟體，是從手機自帶的應用商店下載的。

安裝的當天我並 沒有 感覺到什麼 異常 ，安全管家 沒有報毒 ，軟體運行也很流暢， 功能 也 正常運行 。

但是第二天，我的手機就開始收到大量的 垃圾簡訊&垃圾電話 (當天的騷擾攔截甚至達到了三位數！)

我意識到事情不對勁，趕緊 刪掉 了 軟體 ，向運營商 申請 了 屏蔽信息和電話 ，才得到解決。

那麼我們回頭來看看這個軟體

提取安裝包，檢查每一項可執行資源，很快就找到了問題所在

assets文件夾里，套用了一個jar壓縮文件。

眾所周知，assets文件夾里的所有文件都可以在軟體調用時直接被修改後綴 (哪怕是從文本類型更改為視頻類型)

而這個文件打開之後是另一個軟體

一個軟體套用另一個軟體的操作很常見，關鍵取決於套用的軟體用途是什麼

而這個軟體，是用來 更改地區設置 的 (甚至僅提供大陸以外地區的)

那麼開發者用這個幹了什麼？

答案是:用來 登錄菠菜網站

我們回頭來看主體軟體，拆分其dex

在其變數命名等過程中，進行了包括 登錄網站，後台讀取QQ、微信、微博等操作，甚至禁用了360等殺毒軟體的安裝

至於登錄網站以後進行了什麼操作，我們不得而知，但可以肯定的一點是:我的手機號就是從這里被傳播的

被登錄網站

隨後，我將情況反饋給了服務商，並發表了這條評論

綜上，應用商店下載的軟體安全性也不能得到完全的保證

但至少，不會存在鎖機等大型惡意病毒

所以，請禁止軟體申請不必要的許可權，不要安裝來路不明的軟體

從安卓應用商店的很多軟體評價來看，狀況不是很好，那些下載量500萬+的應用軟體，也可能就是個坑。根本不好用，甚至不能用。還是要靠自己火眼金睛來甄別好的應用和騙人的應用。

另外提一個小問題，有些安卓應用如手機網路8.1版本，甚至強制要求定位許可權，否則無法使用。存在一個過分要求許可權的問題。

自從手機進入智能時代，病毒和流氓軟體就成為了人們預防的主要對象。

Android系統出現後，市場佔有率達到了85%之多。且由於其開源以及碎片化的特性，成為了流氓軟體的眾矢之的。幸運的是，Android將安全作為手機的第一優先順序，並使用了沙盒機制和許可權控制來限制應用，來預防潛在的流氓行為。但盡管如此，市面上還是存在著大量的流氓軟體和病毒

使用官方市場，最簡單的法則就是使用Android官方的應用商店—Google Play Store。這里是最接近「0」流氓軟體的地方，要注意這里我用的詞語是「接近」，因為每天有成千上萬個應用被上傳到應用市場，而審核機制並不能確保完全過濾掉流氓軟體。

國內的大部分手機由於沒有Google服務包，也就缺少了Google的官方應用商店，但我們就因此不能避免感染流氓軟體了嗎？並不是。幸運的是，在 Android設備中，應用程序並不被限制在唯一一個應用商店中發行，一些類似亞馬遜Appstore的第三方應用商店也有許可權發行應用軟體，並且安全性不亞於Google Play Store。

需要注意的是，國內第三方應用商店種類繁多，某些商店中可能會包含一些來源不明的應用，我們要避免使用這些商店中的應用軟體。

避免使用未知來源的應用程序

Android的「設置--安全」中，有一個選項叫做「未知來源——允許安裝來自Play商店之外的其它來源的應用」。這個選項默認是關閉的，我不建議開啟。不知道大家有沒有遇到過類似情況，打開某些網站後，會彈出後台下載窗口自動下載應用程序，下載完畢後還會彈出安裝窗口。

這樣的應用安裝包不一定通過正規應用商店的審核，安裝後輕則可能會泄露個人信息，重則被盜取銀行賬戶資料，或導致數據丟失和損壞。而「未知來源」這個設置如果被關閉，那麼這樣的應用就無法被安裝到手機當中，也就阻擋了不明應用所帶來的傷害。

Android應用商店的軟體里邊什麼樣的軟體也有，安全性不好說，我都是通過360手機助手來下載安裝軟體的。

挺好的，不用關心，自動更新

㈡ android app 安全問題怎樣防止 釣魚攻擊

可以考慮對應用進行加密保護，通過使用APP加殼技術，可以有效保護自己的核心代碼演算法，提高破解、盜版程序和二次打包的難度；技術層面，APP加殼可以緩解代碼注入、動態調試、內存注入攻擊，加強了APP的安全。保護數據安全，防止數據輸入、數據顯示、本地數據存儲以及數據傳輸過程中出現的數據泄露問題，如安全鍵盤、防截屏、防錄屏、防釣魚等。
愛加密服務商一直在保護移動應用的安全發展，採用三代加密技術，通過dex加殼原理、內存防護、so庫文件加密、資源文件加密等多個技術協同保護手段，為移動互聯網開發者和移動互聯網企業提供安全可靠的APP保護方案。