本文探讨了Android应用中常见的信息泄露风险,包括Manifest文件允许备份、未加密交互数据、验证码明文传输等问题,并通过实例解析了攻击者如何利用这些漏洞。建议开发者加强安全措施,如禁用allowBackup、加密数据传输、限制验证码请求等。
信息泄露,更多是个广义的定义,最直接的解释用户的个人信息被攻击者所知,目前随着移动互联网高速发展,中国互联网络信息中心(CNNIC)在京发布第46次《中国互联网络发展状况统计报告》,截至2020年6月,我国网民规模达9.40亿,相当于全球网民的1/5;互联网普及率达67%,数量非常庞大,用户个人信息都会各种APP收集,但是遗憾的是,APP开发者并没有非常重视安全问题,导致APP存在信息泄露漏洞,泄露用户的手机号码,姓名,身份证号,银行卡号,汽车牌照号等等敏感的个人信息,甚至攻击者用收集到的信息用于黑灰产(广告推销,杀猪盘,网贷等),好消息是从国家层面越来越重视网络安全,企业也越来越重视。
1
典型的信息泄露风险点
风险1: 应用的Manifest文件中allowBackup属性值设置为true,可通过adb backup对应用数据进行备份,在无root的情况下可以导出应用中存储的所有数据。
> adb backup -f D:/back.ab -noapk 应用包名 即可备份
修复建议:将应用Manifest文件中allowBackup属性值设置为false
风险2:应用客户端与服务端交互过程中未做校验,导致信息泄露,比如:攻击者截获客户端服务端交互的数据包,任意修改用户ID,遍历其他用户的数据信息,导致用户的信息泄露。
修复建议:服务端加强身份验证机制,数据传输通道加密。
风险3:应用注册时,验证码明文返回至客户端,导致任意手机号码登录的风险。
修复建议:禁止验证码明文返回本地。
<
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
