Android應用安全問題與對策思考研究

付亞男

（廣東郵電職業技術學院，廣東 廣州 510630）

0 引 言

近幾年全球信息化的發展，移動互聯網的生態系統日益龐大，市場上豐富的移動應用也越來越多，手機APP 為我們提供便捷服務的同時，Android 端主要的安全問題如信息泄露、扣費短信、惡意廣告、挖礦木馬、勒索軟件等也一直困擾著我們，若對應用中潛在的安全隱患不能夠及時發現和處理，一旦出現問題，無論是對公司或用戶，都將造成不可估量的傷害。因此，做好應用技術開發的安全策略、讓應用更安全更可靠的運行，是每個開發者義不容辭的責任。

1 Android 應用安全問題及對策

本文從安全開發角度梳理了一個Android APP 需要關注的安全問題，主要從程序安全和數據安全兩個方面進行分析，如圖1所示。

圖1 APP 安全組成

1.1 程序安全

在開發APP 過程中，許多開發者只關注如何實現功能，對Android 的安全機制理解不夠，導致發布在應用市場上的很多APP 存在安全漏洞。程序安全主要包括程序漏洞、代碼混淆、應用簽名、APK 加固這四個方面的安全，下面將對這四方面進行詳細分析。

1.1.1 程序漏洞

程序漏洞主要體現在以下幾個方面：

（1）AllowBackup 漏洞。Android 2.1 以上的系統可以為APP 提供應用程序數據的備份和恢復功能，當Android Manifest.xml 文件中的allowBackup 被設置為true 時，攻擊者可通過adb backup、adb restore 來對應用數據進行備份和恢復，從而獲取到用戶的敏感信息，如證件號、手機號、身份令牌等，造成用戶隱私數據的泄漏和資產損失，在正式發布應用之前，顯式設置為false，不能對應用數據備份。

（2）Java 動態調試風險。……