返回
安卓应用中的信息泄露问题探究

安卓应用中的信息泄露问题探究

ID:9125609

大小:53.50 KB

页数:6页

时间:2018-04-18

安卓应用中的信息泄露问题探究_第1页
安卓应用中的信息泄露问题探究_第2页
安卓应用中的信息泄露问题探究_第3页
安卓应用中的信息泄露问题探究_第4页
安卓应用中的信息泄露问题探究_第5页
资源描述:

《安卓应用中的信息泄露问题探究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、安卓应用中的信息泄露问题探究吴中超许国祥王瑜信息工程大学作为当今世界最流行的新兴移动操作系统,安卓系统的应用安全重要性H益提高。安卓应用通信架构由服务器、客户端两部分构成,均存在敏感信息泄露的安全隐患。本文从这两方面入手,分析安卓应用生态目前出现较多的信息泄露问题及导致危害,并分别探讨了针对主要漏洞类型的应对手段。关键词:安卓系统;移动互联网;应用安全;信息泄露;0引言移动操作系统的生态链正从智能手机拓展到诸如平板电脑、智能家居、可穿戴智能设备、车联网、嵌入式系统等多种衍生产品中,日益驱动着互联网技术的改变和发展。作为移动互联网时代的突出标志之一,移动应用APP聚集了大量的

2、高附加值信息和资源。这些信息和资源不仅包含个人手机信息、身份信息、经纬度地理位置等,还包含丫多个应用或网站的账号密码信息、个人电子邮件、隐私文件等诸多信息。在过去的2016年中,W内个人信息泄露事件频发。中国互联网协会2016年发布的《中国网民权益保护调查报告》中指出,在整个2016年,中国网民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失约915亿元。其中,78.2%的网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号及工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位罝等。在个

3、人信息泄露带来的不良影响上,82.3%的网民亲身感受到了个人信息泄露对H常生活造成的影响。近年爆发的多个安卓系统漏洞,其影响力动辄覆盖过亿安卓手机用户,造成大量用户隐私泄露风险。而对移动互联网用户隐私保护的严峻形势,隐私泄露的检测和保护近年来颇受关注。本文结合本人在清华大学网络与信息安全实验室参与的安卓APP渗透测试项目、全国高校校园网APP测试项目及正在进行的研宄工作,揭示了移动应用隐私泄露检测和防护的总体进展,并针对影响范围较广的典型问题给出针对性修复方案。1安卓应用app客户端的信息泄露问题1.1应用敏感数据明文存储在本地文件中八ndroid应用程序运行中必然涉及数据

4、的输入、输出。例如应用程序各个参数设置、程序运行屮的状态等数据都需要保存到外部存储器上,否则系统关机之后数据将会丢失。若应用程序中需要保存的数据较少,且数据格式简单(字符串、整型值等),可使用SharedPreferences进行保存。若应用程序有大量数据需要存储、访问,就需要用到数据库。如果SharedPreferences创建时模式设为可i卖可写,则文件屮内容极易被其他应用获取。如果文件屮内容为明文或明文编码(base64等),则会造成敏感信息泄露。例如,在某app中,应用会将使用过的用户信息(包括用户资料、id等)以明文的形式存储在SharedPreferences文

5、件中(如图1所示),内容可直接被获取。改进方式:避免使用MODEJVORLD_READABLE和MODEJVORLD_WRITEABLE模式创建SharedPreferences文件;避免把密码等敏感数据信息明文存放在SharedPreferences文件中。图1SharedPreferences文件闪容卜载原图1.2contentprovider访问控制缺失在安卓系统中,contentProvider用来提供数据的统一访问方式。如果莱个应用中有数据需要提供给其他应用访问,无论数据存储在数据库中,还是在文件甚至在网络屮,都町以通过contentprovider提供的接门来访

6、问。如果在AndroidManifest文件屮将某个ContentProvider的exported属性设置为true,则可在外界任意位置直接访问其数据。如果此ContentProvider的实现有问题,则可能产生任意数据访问、SQL注入、目录遍历等风险。例如,在某校园网图书馆app中,利用drozer查询应用中的provider信息,可发现该应用中存两个contentprovider组件,继续查询其中设计的provideruri;逐个进行查询尝试,发现其屮存储密码值的uri可不需权限,直接查询得到结果,如图2所示。图2用户名、登录密码、邮箱等敏感信息改进措施:对于需耍开放

7、的组件应设置合理的权限,如果只需耍对同一个签名的其它开放contentprovider,则可以设置signature级别的权限。1.3本地sql语句非法拼接导致注入隐患SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符申,最终达到欺骗服务器执行恶意的SQL命令。它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。若应用对传入的查询参数不做处理或检验,而直接拼接进sql查询语句,则可能导致SQL注入。攻击者可根据表屮实际情

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。