最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 网络安全攻防:Android系统安全之数据安全

     

    1. 外部数据安全

    外部存储通常是指将数据存入到设备的SD卡上。

    外部存储是一种不安全的数据存储机制,因为存储到SD卡上的文件默认是提供给others读文件的权限的,设备上安装的其他App只要在其AndroidMenifest.xml上声明如下的语句。

    1. <uses-permission android:name=\'android.permission.WRITE_EXTERNAL_STORAGE\'></uses-permission> 

    那么该App就具有了对于SD卡的完全的读写权限,即是说一个App放在SD卡上的任何数据都可以被其他的App进行读/写操作,所以将重要数据存储在SD卡上具有相当大的安全隐患。

    2. 内部数据安全

    内部数据存储主要分为两种方式:SharedPreference存储和File存储。内部数据存储的安全问题主要需要注意的是创建的模式以及向文件中写入的内容。

    SharedPreference 存储是一种轻量级的数据存储方式,它的本质是基于 XML 文件存储Key-Value键值对数据,通常用来存储一些简单的配置信息。

    File存储即常说的文件(I/O)存储方法,常用于存储大量的数据。

    内部数据存储通常较为安全,因为它们可以受到Android系统的安全机制的保护。

    Android的安全机制本质上就是Linux的安全机制,系统会为在Android系统上运行的每一个App创建一个进程,并为该进程分配一个UID。Android系统将会为每一个App创建一个特定的目录/data/data/app_package_name,这个目录的权限只与UID相关,且只有UID关联的用户才有该目录相关的权限。

    因此,在对应目录下生成的SharedPreference文件与File文件如果以正确的方式去创建将会受到Android系统权限机制的保护。

    这个正确的创建方式是指文件创建的模式,SharedPreference与文件的创建模式主要有以下3种。

    MODE_PRIVATE:默认的创建模式,该进程的 UID 对应的用户将会对该文件拥有完全的控制的权限,而其他UID的用户将没有权限去读/写文件。

    MODE_WORLD_WRITABLE:该权限将允许设备上所有的App对于该文件拥有写的权限。

    MODE_WORLD_READABLE:该权限将允许设备上所有的App对于该文件拥有读的权限。

    为了确保内部数据的安全,有如下建议。

    (1)创建文件时的权限控制

    如果在创建文件的时候没有注意控制权限,那么该文件的内容将会被其他的应用程序所读取,这样就造成了用户相关信息的泄露,SharedPreference中存储的往往是一些免登token、session id等和用户身份息息相关的重要信息,因此,在创建的时候一定要注意选取好创建的模式;免登token也一定要具有时效性,否则与存储了明文的用户名和密码无异。

    (2)SharedPreference中不要存入明文密码等重要信息

    由于有Root的存在,那么Root过后的手机就打破了Linux提供的沙箱机制,那么无论以何种方式去创建SharedPreference都已经不再安全了,如果存储的是用户明文的密码,那么用户的密码将会泄露,因此,绝对不要向SharedPreference中写入任何无时效性的重要的数据。

    3. 通信数据安全

    这里的通信数据安全是指软件与软件、软件与网络服务器之间进行数据通信时,所引发的安全问题。

    软件与软件的通信,Android有4大组件:Activity、Content Provider、Service、Broadcast Receiver。

    这些如果在Androidmanifest.xml配置不当,会被其他应用调用,引起风险。Android应用内部的Activity、Service、Broadcast Receiver等,它们通过Intent通信,组件间需要通信就需要在Androidmanifest.xml文件中暴露组件。

    Intent的两种基本用法:一种是显式的Intent,即在构造Intent对象时就指定接收者;另一种是隐式的Intent,即Intent的发送者在构造Intent对象时,并不知道也不关心接收者是谁,有利于降低发送者和接收者之间的耦合。

    带来的风险有恶意调用、恶意接收数据、仿冒应用、恶意发送广播、启动应用服务、调用组件、接收组件返回的数据、拦截有序广播等。

    常见的有以下的防护手段。

    (1)最小化组件暴露

    不参与跨应用调用的组件添加android:exported="false"属性,这个属性说明它是私有的,只有同一个应用程序的组件或带有相同用户ID的应用程序才能启动或绑定该服务。

    1. <activity android:name=".LoginActivity" android:label="@string/app_name" android: screenOrientation="portrait" android:exported="false"> 

    (2)设置组件访问权限

    参与跨应用调用的组件或公开的广播、服务设置权限。

    ① 组件添加android:permission属性。

    1. <activity android:name=".Another" androidandroid:label="@string/app_name"android:permission="com.test.custempermission"> </activity> 

    ② 声明属性

    1. <permission android:description="test" android:label="test" androidandroid:name="com.test.custempermission"android:protectionLevel="normal"></permission> 

    protectionLevel有4种级别:Normal、Dangerous、Signature、SignatureOrSystem。Signature、SignatureOrSystem级别只有相同签名时才能调用。

    ③ 调用组件者声明

    1. <uses-permission android:name="com.test.custempermission"/> 

    (3)暴露组件的代码检查

    Android 提供各种 API 在运行时检查、执行、授予和撤销权限。这些 API 是android.content.Context类的一部分,这个类提供有关应用程序环境的全局信息。

    网络数据通信可能面临的攻击是网络流量嗅探,如果网络上传没有加密的数据,网络嗅探就能截获到数据,ARP攻击可以轻松嗅探到账号、密码等。比较常见是通过HTTPS,HTTPS能有效地防止数据暴露、防止第三方截获应用的通信数据。

    Android中实现HTTPS基本就这两种方式,一种是不验证证书,一种是有验证证书(预防钓鱼)。

    第二种方式实现复杂一些,需要将cer证书转换成BKS类型。这种方式也只能简单地防止钓鱼,不能有效地防止钓鱼。防止钓鱼最终还是靠用户分辨,在正规渠道下载应用。应用证书也能起到验证客户端的功能,使用证书验证客户端不合适,如果使用证书验证客户端,证书必须存放在应用程序中或使用时下载,Android应用都是一个APK文件,很容易获取到里面的文件,如果是下载方式,更容易通过下载地址获取。如果想验证客户端的话,使用so文件封装数据更好。

    【编辑推荐】

    1. 到2030年,智能农业或将养活85亿人!但网络安全威胁需要重视
    2. 具透 | 准备迎接Android的全新面貌:Android 12第二个开发者预览版详解
    3. 网络安全编程:内核下文件读写函数
    4. 中信银行网络安全策略可视化管理平台建设实践
    5. Google 将 Android 实时字幕功能引入 Chrome 浏览器
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 网络安全攻防:Android系统安全之数据安全

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情