Android应用安全常见问题及解决方案

URL绕过问题

URl绕过问题也只能说是攻击面，不能说是漏洞。这块首先有一个路径遍历漏洞，一般问题应用或者SDK在大量使用路径url作为参数的情况下，如果不校验路径的合法性，就容易导致这个问题。安卓平台最典型的路径遍历漏洞就是 ZipEntry URl路径遍历问题，和传统web相同。

另一个问题是url白名单绕过，随着联网应用的增多，大家都喜欢用webviwe组件去加载一个网页，那就需要加载url，而webviwe组件本身问题就非常的多，它权限中有很多敏感的行为，比如获取地理位置信息。

在使用webview的时候，大多数开发者并不希望组件任何网页都加载，因此会实现一个白名单函数约束加载的网页，常见的约束函数有contains()、indexOf()、endwith()、getHost()等，由于约束机制都是人为实现的，因此会带来不安全的因素。

url白名单可能存在的场景，包括安卓的scheme属性、暴露组件、一扫、评论、聊天输入。

扫一扫的问题比较有意思，按照道理讲，通过扫二维码和直接网页点击的url，如果有白名单校验机制的话，应该是加载同一个白名单函数。但是可能由于团队架构设计的原因，导致两块分别由不同人负责，造成白名单校验机制也不一样，从而带来一些问题。

中间人攻击

中间人攻击其实也是历史悠久的问题，最早也是在web平台，不过现在因为安卓平台的网络连接越来越多，用户量越来越大，这个也是成为了安隐患非常大的问题。

中间人攻击可以劫持应用发出的请求，返回用户不期望的东西。所有的http都可以被中间人攻击，因为它本身就是不安全的网络传输。

https作为http的安全解决方案，如果实现的不够好，也有很多的漏洞。目前众所周知的漏洞位置由X509TrustManager、HostnameVerifier、setHostnameVerifier，对于场景分别是客户端不校验SSL证书或者校验逻辑有误；自定义实现HostnameVerifier接口，却不检查域名和证书域名是否匹配；直接使用接受任意域名的HostnameVerifier接口。

Webvie漏洞

Webview漏洞方面今年发现的，影响面最广，而且数量不断递增的就是JavaScript的接口暴露问题。目前市面上比较流行的，用了Webview组件的应用，大概有1/5都存在这种问题。

我们某应用中供应商的SDK中就存在大量暴露的JavaScript接口，通过代码跟踪我们发现这个接口可以执行很多操作，包括发短信、打电话、下载应用等等功能，

对于webview漏洞的解决方案主要是扫描代码中关键字，以上这些都是webview的一些配置，它们单独拿出来可能都不是什么问题，但是组合起来就会造成非常多的问题。

Android应用问题及解决方案

我们使用的应用里肯定有很多的隐私数据，例如的姓名，年龄、性别、身份证号等等信息，这些信息可以通过网络、SD卡存储、短信发送、NFC、蓝牙传输等各种方式泄露出去。

那么作为一个开发者，要如何防范这些泄露呢，或者说保证自己开发的应用没有这些行为，其中就包括判断所引入的大量开源的SDK是否有恶意的行为。

这里介绍一款工具——flowdroid，它是一款针对android app数据分析的工具。它实际上是分析了你的信息流所有可能的通过的路径，其中分为source跟sink,，source表示敏感数据、sink表示泄露点。

以上为今天的分享内容，喜欢的话请帮忙点个赞让更多需要的人看到哦。更多Android进阶技术，面试资料系统整理分享，职业生涯规划，产品，思维，行业观察，谈天说地。可以加Android架构师群；701740775。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注：Android）

文末

对于很多初中级Android工程师而言，想要提升技能，往往是自己摸索成长，不成体系的学习效果低效漫长且无助。 整理的这些架构技术希望对Android开发的朋友们有所参考以及少走弯路，本文的重点是你有没有收获与成长，其余的都不重要，希望读者们能谨记这一点。

最后想要拿高薪实现技术提升薪水得到质的飞跃。最快捷的方式，就是有人可以带着你一起分析，这样学习起来最为高效，所以为了大家能够顺利进阶中高级、架构师，我特地为大家准备了一套高手学习的源码和框架视频等精品Android架构师教程，保证你学了以后保证薪资上升一个台阶。

当你有了学习线路，学习哪些内容，也知道以后的路怎么走了，理论看多了总要实践的。

进阶学习视频

附上：我们之前因为秋招收集的二十套一二线互联网公司Android面试真题 （含BAT、小米、华为、美团、滴滴）和我自己整理Android复习笔记（包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。）

《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门即可获取！

roid学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门即可获取！**