Android应用安全常见问题及解决方案，2024最新Android笔试题及答案

这是我们内部审计发现的一些数据，在经过仔细的排查，发现很多应用普遍都会存在一些漏洞。而少部分应用会在他们不知情或者是故意的情况下，带有一些病毒和恶意的行为。

Android应用常见问题及解决方案

接下来会给大家介绍下我们今年发现了一些漏洞，其实说漏洞还是有些不恰当，它更像是四个攻击面，包括组件问题、url绕过、中间人攻击、Webview漏洞，尽管这几个问题看起来非常简单，但是在手机上包括一些主流APP上却是非常的常见。

组件问题

对于组件问题，如果单论存在的原因，可能在安卓建立之初它就存在了。组件暴露其实是一个非常正常的事情，但是不正常的就在于很多开发者喜欢把一些没有开发完的代码也随着应用发布出去，他们可能觉得这些部分跟其他的组件或者界面没有太大关联，用户无法接触到这些界面。但是实际上如果设置了组件暴露，攻击者就可以轻松的攻击应用，包括调用隐藏功能，开启后门，拒绝服务等。

组件暴露，如果含有权限，而且没有设置保护(这里的权限不仅仅是传统意义上的那种谷歌定义的高权限行为)，攻击者就可以在在用户不知情情况下做一些事情，比如访问组件直接发短信，

还有一种情况是应用设计逻辑上比较高危，比如我之前看到一款金融类的APP，它的设计就是先有一个输入密码的界面，类似于保护锁，通过保护锁验证成功之后才可以金融信息这样的隐私数据。但是如果第二个界面组件暴露了，就可以不用锁直接绕过验证。

下面介绍一个，今年某某社交软件发现的SDK的问题。这个问题大概是在今年7月份才修复，该社交软件，用户量大概有几个亿，审计发现有14000多个应用存在这种问题。

问题出在一个有分享功能的SDK上， 这个SDK存在两个暴露的组件，其中一个组件的漏洞让攻击者可以访问到应用的任意私有组件，相当于绕过了谷歌的沙箱机制。另一个组件的漏洞不仅可以让然访问私有组件，还可以向组件传参数。它们主要造成了两个问题，一个是拒绝服务，一个是调用未授权界面（甚至后门）。

URL绕过问题

URl绕过问题也只能说是攻击面，不能说是漏洞。这块首先有一个路径遍历漏洞，一般问题应用或者SDK在大量使用路径url作为参数的情况下，如果不校验路径的合法性，就容易导致这个问题。安卓平台最典型的路径遍历漏洞就是 ZipEntry URl路径遍历问题，和传统web相同。

另一个问题是url白名单绕过，随着联网应用的增多，大家都喜欢用webviwe组件去加载一个网页，那就需要加载url，而webviwe组件本身问题就非常的多，它权限中有很多敏感的行为，比如获取地理位置信息。

在使用webview的时候，大多数开发者并不希望组件任何网页都加载，因此会实现一个白名单函数约束加载的网页，常见的约束函数有contains()、indexOf()、endwith()、getHost()等，由于约束机制都是人为实现的，因此会带来不安全的因素。

url白名单可能存在的场景，包括安卓的scheme属性、暴露组件、一扫、评论、聊天输入。

扫一扫的问题比较有意思，按照道理讲，通过扫二维码和直接网页点击的url，如果有白名单校验机制的话，应该是加载同一个白名单函数。但是可能由于团队架构设计的原因，导致两块分别由不同人负责，造成白名单校验机制也不一样，从而带来一些问题。

中间人攻击

中间人攻击其实也是历史悠久的问题，最早也是在web平台，不过现在因为安卓平台的网络连接越来越多，用户量越来越大，这个也是成为了安隐患非常大的问题。

中间人攻击可以劫持应用发出的请求，返回用户不期望的东西。所有的http都可以被中间人攻击，因为它本身就是不安全的网络传输。

https作为http的安全解决方案，如果实现的不够好，也有很多的漏洞。目前众所周知的漏洞位置由X509TrustManager、HostnameVerifier、setHostnameVerifier，对于场景分别是客户端不校验SSL证书或者校验逻辑有误；自定义实现HostnameVerifier接口，却不检查域名和证书域名是否匹配；直接使用接受任意域名的HostnameVerifier接口。

Webvie漏洞

Webview漏洞方面今年发现的，影响面最广，而且数量不断递增的就是JavaScript的接口暴露问题。目前市面上比较流行的，用了Webview组件的应用，大概有1/5都存在这种问题。

我们某应用中供应商的SDK中就存在大量暴露的JavaScript接口，通过代码跟踪我们发现这个接口可以执行很多操作，包括发短信、打电话、下载应用等等功能，

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注：Android）

最后：学习总结——Android框架体系架构知识脑图（纯手绘xmind文档）

学完之后，若是想验收效果如何，其实最好的方法就是可自己去总结一下。比如我就会在学习完一个东西之后自己去手绘一份xmind文件的知识梳理大纲脑图，这样也可方便后续的复习，且都是自己的理解，相信随便瞟几眼就能迅速过完整个知识，脑补回来。

下方即为我手绘的Android框架体系架构知识脑图，由于是xmind文件，不好上传，所以小编将其以图片形式导出来传在此处，细节方面不是特别清晰。但可给感兴趣的朋友提供完整的Android框架体系架构知识脑图原件（包括上方的面试解析xmind文档）

除此之外，前文所提及的Alibaba珍藏版 Android框架体系架构 手写文档以及一本 《大话数据结构》 书籍等等相关的学习笔记文档，也皆可分享给认可的朋友！

——感谢大家伙的认可支持，请注意：点赞+点赞+点赞！！！

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！

视频、实战项目源码讲义》点击传送门即可获取！**