android安全分析
⑴ APP的安全漏洞怎么检测,有什么工具可以进行检测
目前我经常用的漏洞检测工具主要就是爱内测,因为爱内测会根据应用特性,对程序机密性会采取不同程度不同方式的检测,检测项目包括代码是否混淆,DEX、so库文件是否保护,程序签名、权限管理是否完整等;组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞,并给出针对性建议;数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞,确保APP里那些可能导致帐号泄露的漏洞被全部检测出。
⑵ android中有哪些安全机制
本文从Android系统架构着手,分析Android的安全机制以SE Android,最后给出一些Android安全现状和常见的安全解决方案。
http://www.cnblogs.com/lao-liang/p/5089336.html
⑶ Android软件安全与逆向分析的Android术语
逆向分析是一种逆向工程技术,是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素,以制作出功能相近,但又不完全一样的产品。逆向工程源于商业及军事领域中的硬件分析。其主要目的是在不能轻易获得必要的生产信息的情况下,直接从成品分析,推导出产品的设计原理 。Android 软件安全与逆向分析是针对Android 软件的逆向分析,对原有APK文件进行反向研究,包括对语法,代码等进行分析,破解原有APK的源代码,资源文件比如图片,音频等等行为。
1.APK一旦被破解,反编译之后的源码就被破解者获取,开发者的劳动成果就被窃取,危害了开发者的利益。
2.反编译的APK如果被进行二次打包,那么APP就成为盗版产品,盗版产品侵害开发者的版权
3.反编译的产品有可能被破解者进行二次打包,注入恶意代码,窃取用户隐私,恶意扣除用户手机流量和资费,获取用户数据等等,这些行为严重伤害用户的利益。
4.盗版产品不受保护,用户得不到合理的售后支持和服务。
在这种情况下就需要加强对安卓APK DEX文件进行保护的技术,防止反编译。dex文件其实就是Android系统中可以在Dalvik虚拟机上直接运行的文件格式。java源码通过ADT编译成Smali语言这是一个优化的过程,相对于.class文件它体积小、运行效率高、被编译后可读性低;Smali再到class. DEX本身就是一个加壳保护的过程。 DEX文件如果未做好保护,黑客通过反编译可让源码完全暴露,可利用阅读源码来找到App的设计流程,通过对程序流程的了解将很容易对程序进行盗版、恶意篡改、恶意代码注入等危险行为 。
1.隔离Jave程序。这种是最根本的保护,将一些关键的Class文件进行加密,例如对注册码、序列号管理相关的类进行加密,开发人员可以将关键的JavaClass放在服务器端,用户通过服务器接口获取服务而不是直接通过java文件。破解者就无法获取class文件了。目前有很多通过接口提供服务的标准和协议,比如HTTP,webservice,RPC等等。但是呢,这种方式并不是适合所有的APP,比如单机运行的程序的无法隔离Java程序。
2.对class文件进行加密保护。开发者可以将一些关键的class文件进行加密,比如对注册码,序列号管理相关的类进行加密来防止反编译。在使用这些被加密的类之前,程序需要首先对这些类进行解密,然后才能将这些类加载在JVM中。要解密这些类,必须要通过一些硬件或是软件才能完成。
3.转换成本地代码
这是一种防止反编译的比较有效的方法。因为本地代码往往难以被反编译。开发人员可以选择将整个应用程序转换成本地代码,或者可以选择关键模块转换。如果仅仅转换关键部分模块,Java程序在使用这些模块时,需要使用JNI技术进行调用。当然,在使用这种技术保护Java程序的同时,也牺牲了Java的跨平台特性。对于不同的平台,我们需要维护不同版本的本地代码,这将加重软件支持和维护的工作。不过对于一些关键的模块,有时这种方案往往是必要的。为了保证这些本地代码不被修改和替代,通常需要对这些代码进行数字签名。在使用这些本地代码之前,往往需要对这些本地代码进行认证,确保这些代码没有被黑客更改。如果签名检查通过,则调用相关JNI方法.
4.代码混淆
代码混淆是对Class文件进行重新组织和处理,使得处理后的代码与处理前代码完成相同的功能(语义)。但是混淆后的代码很难被反编译,即反编译后得出的代码是非常难懂、晦涩的,因此反编译人员很难得出程序的真正语义。从理论上来说,黑客如果有足够的时间,被混淆的代码仍然可能被破解,甚至目前有些人正在研制反混淆的工具。但是从实际情况来看,由于混淆技术的多元化发展,混淆理论的成熟,经过混淆的Java代码还是能够很好地防止反编译。下面我们会详细介绍混淆技术,因为混淆是一种保护Java程序的重要技术 。
5.第三方工具加密
上面四种方式可能要耗费开发者很大一部分精力和时间,如果想要方便的话,可以寻求第三方的加密工具。目前市场上有一些工具是可以帮助APK加密的,比较知名的是爱加密的加密平台。相对于上面四种方式,这种第三方的加密工具要更全面和专业,可以有效的保护dex文件,so库文件,xml主配文件以及其他资源文件不被反编译和恶意篡改。
爱加密专家提醒,这些方式并不是独立运用的,有时候可以混合使用,根据自己的情况来定,比如说高级混淆之后还是可以使用第三方的爱加密工具进行高级保护,多一重安全。
⑷ android安全性问题都有哪些
Android
开发安全性注意事项:
本地数据库加密机制
本地
SharedPreferences
保存信息要加密
统一日志输出开关控制
(
开发测试日志输出打开,版本正式上线日志输入关闭
)
正式包需要混淆打包
app
与服务器交互接口参数以及返回数据需要进行数据加密
app
与服务器交互接口需要有
token
过期失效机制
声明适当的
manifest
权限
关于
Android
组件暴露的问题可以在不需要暴露的组件在
AndroidManifest.xml
中为这个组件
加上属性
android:exported=
”
false
”
⑸ 《Android软件安全与逆向分析》pdf下载在线阅读全文,求百度网盘云资源
《Android软件安全与逆向分析》网络网盘pdf最新全集下载:
链接: https://pan..com/s/1brYBFOyXsboWMkT_zplYdw
简介:本书由浅入深、循序渐进地讲解了Android 系统的软件安全、逆向分析与加密解密技术。包括Android软件逆向分析和系统安全方面的必备知识及概念、如何静态分析Android 软件、如何动态调试Android 软件、Android 软件的破解与反破解技术的探讨,以及对典型Android 病毒的全面剖析。本书适合所有Android 应用开发者、Android 系统开发工程师、Android 系统安全工作者阅读学习。
⑹ 为什么android安全漏洞多
1、android系统手机泄密
信息时代很严重 先从所有版本android系统的通病数起。最让用户不耻的在于,近期美国《华尔街日报》聘用两位安全分析师发现,谷歌安卓系统手机和 苹果iphone 手机会自动收集用户的行踪信息,并将这些私人信息返回给两家公司。调查发现,使用安卓系统的htc手机能每隔几秒钟自动手机用户的姓名、位置、所在地附近的无线网络信号强度及一个特殊电话识别码,并每小时多次将这些信息发送给谷歌。
2、不支持关机闹铃
与用户需求严重背离 然后是所有玩家几乎已经习以为常的事情,谷歌系统的一千遍一万遍升级都与它无关,它就是不支持关机闹铃。可以说现在很多的android系统手机玩家,都是从塞班系统“叛变”过来的,包括小编本人。其中又有多少人曾经喜欢晚上睡觉关机的玩家,因为android系统的这一缺点而大声骂过街。 有会有人说了,iphone4和微软系统也都不支持关机闹铃呀。没错,但是塞班系统的手机支持,mtk芯片的手机支持、展讯芯片的手机,请问你还有什么理由不支持!如果这条理由还不足以让你清醒,那么,我再告诉你同样基于android系统开发的 联想乐phone 就支持!联想可以搞定的事情,你谷歌为什么搞不定!是实力不济还是压根就没有真正考虑过用户需求?
3、拨号后自动挂断电话
通话bug频繁出现 手机的基本功能就是通讯工具,无论科技发展到多么随心所欲的境界,这一点都是毋庸置疑的。但是android系统却在最基本的通话功能上出了问题。很多论坛里的网友都反应的一件事情就是,android系统手机在拨号通话时经常遇见这样的郁闷情况。拨号以后,电话尚未接通会被系统自动挂断。而且,这绝不是某款android手机的问题,而是很多android系统手机的通病。
4、对硬件配置要求高
制造成本增加 近期各种高频处理器,各种高ram内存的手机频现,为玩家奉献了一场几乎华丽的视觉大餐。可以说谷歌android系统在其中做了推波助澜的效果,原因很简单,android系统的手机对硬件配置要求过高,厂商如果不推出高硬件标准的手机怎么在这个竞争激烈的时代立足呢?不过,我们可以换个角度考虑一下,这些高配置的手机价钱怎么样?如果你不是富二代,你爹不是李刚的话,你肯定不会淡定的。 尽管谷歌方面一再声称,android系统对手机硬件没有明确的配置要求,对厂商使用什么样规格的硬件配置只是提出建议。但是,如果厂商不接受建议,采用的低配置的硬件,将会是什么后果?显然易见,这款手机一定会在竞争中被无情淘汰。我要举例说明一下,android系统手机的cpu主频已经达到1.2ghz主频,甚至双核1.2ghz主频的手机也开始出现了。但是塞班系统至今没有出现过一款cpu主频能够达到1ghz主频的手机。难道塞班手机真的比android系统手机落后那么多?目前塞班系统很多的手机处理器都只有600mhz,系统ram内存128mb,但是运行速度还是非常流畅的。但是如果是一款android系统手机,配备了600mhz、128mb ram的硬件,运行速度有多慢,我想用过的人都是十分清楚两者之间的差距的。就象这位网友在论坛里说的那样,android系统手机的高配置、高硬件带来的高成本最后都是转嫁给消费者的。
5、系统偷跑流量
流量流失情况惊人 按照谷歌方面的描述,android系统最大的优势在于与互联网贴合紧密,使用android系统手机可以尽享移动互联网带来的欢乐。但是,有没有想过这种谷歌引以为豪的优势有一天会变成消费者眼中的大敌。查看一下网上的记录,有多少人抱怨android系统手机费流量,原来塞班时候30m玩一个月的时代已经一去不复返了。
6、系统费电严重
安卓手机续航不足 应用程序实时更新产生不仅仅是白白跑掉的网络流量,还在于这些更新活动也导致手机电量白白浪费掉。在各种手机论坛中,我们见到最多的帖子就是抱怨某款手机的续航能力不足。如果是一款两款手机如此,说明是手机本身的电源管理系统有缺陷,如果是绝大多数的安卓手机都这样,我们只能把矛头指向谷歌android系统本身。
7、死机现象频现
android系统普遍存在 android系统还有一个频现的bug在于手机死机现象比较频繁。而死机发生的环境也是多种多样,有的是在运行某款程序时突然死机,有的是上网期间突然死机,有的甚至是在待机状态下也会发生死机现象。尽管用户反应,死机现象发生的频率不尽相同,但是几乎所有的android手机用户都遇到过死机现象。 由于android系统开放程度高,因此造成大量的手机厂商和软件开放商涌入以图得一杯美羹。而由于google market的测试、审核机制又不是很完善,导致了很多并不很稳定甚至会导致系统崩溃的软件被发布出来。此外,由于系统过于开放,很多网友玩家自行制作了很多各种版本的rom,各种rom稳定性,水平参差不齐也是手机死机的诱因之一。此外,对于很多新入手智能手机的玩家来说,各种rom也导致android系统版本眼花缭乱,使得他们显然无法驾驭得了。
8、系统“智商不高”
计算器不会计算 近日,在各大手机论坛和android社区都会发现一个令人匪夷所思的帖子,不少网友都纷纷表示android系统自带的计算器爆出低级错误,android手机内置的计算器有些最简单的减法都会算错。例如在android系统自带的计算器内输入14.52-14.49,正确结果应该是0.03,但是计算器结果显示的数字为0.0299999。
9、短信功能也bug
随机乱发惹人烦 android系统手机的短信bug最先由国外媒体曝光,这种小bug会导致短信在用户毫不知情的情况下随机发送,导致实际接收到短信的人并非发信人选择发送的对象。这种bug着实让中招的玩家崩溃的,手机的基本通讯功能都出现问题了,其他方面最强大也只能算做鸡肋产品。 但是谷歌方面的声明显然不能让玩家信服,随后,在国内论坛网站了也出现了网友曝光android系统手机短信bug的消息。玩家的描述与国外媒体曝光的内容几乎一致,都是信息发送时被短信被随机发给了其他用户。不仅如此,部分android手机还爆出已经被阅读过的短消息依然会被随机标记为未读的情况,让很多玩家十分崩溃。
⑺ 如何对安卓APK进行安全检测和漏洞检测
一般APP安全检测主要就是对APP安全风险以及安全漏洞检测,根据爱内测平台介绍,主要通过静态分析、动态分析以及人工检测:
静态分析: 利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java文件、xml文件等文件静态扫描分析,通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台,为后续的安全检测报告提供数据依据
动态分析:对应用软件安装、运行过程的行为监测和分析。检测的方式包括沙箱模型和虚拟机方式。虚拟机方式通过建立与Android手机终端软件运行环境几乎一样的虚拟执行环境,手机应用软件在其中独立运行,从外界观察应用程序的执行过程和动态,进而记录应用程序可能表现出来的恶意行为。
人工检测: 专业安全人员对待检测应用,对其进行安装、运行和试用,通过在试用过程中,逐步掌握应用的特点,并通过专业经验,来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的全部检测项的同时,兼顾侧重点检测,给予应用更全面、更专业、更贴合应用的量身打造的检测服务。