Android类app的安全问题造成漏洞的原因以及解决方法

    以上分析数据说明android类app的安全问题并不容乐观，需要进一步探究造成漏洞的原因以及解决方案，以尽量避免漏洞的产生及弥补安全问题带来的影响。
　　 App漏洞原因分析
　　Android app的漏洞类型很多，如SQL注入、webview系列漏洞、文件模式配置错误、HTTPS不校验证书、拒绝服务攻击等，造成漏洞的原因可以归结为以下两类：
　　1.  App开发者自身的问题
　　a)  编码不规范
　　很多公司对编码规范没有要求，或app开发者没有按照编码规范来进行编码，容易导致敏感信息泄露，比如日志打印问题、在发行版本中没有关闭日志打印功能等。
　　b)  安全意识不够
　　很多android函数的参数需慎用，如常用函数openFileOutput，如果设置mode参数为Context.MODE_WORLD_READABLE或者Context.MODE_WORLD_WRITEABLE，就容易泄露android app的数据。另外，接口处理需要更加严谨，例如暴露了一个接口，允许运行用户输入的信息，若对信息未做任何处理，就容易引起拒绝服务攻击等安全问题。

　　2.  Android上0day的发现

　　Android上0day的发现，可导致android app以前安全的功能变得不安全，在android系统没有补丁的情况下，需及时在android app上打补丁，但鉴于很多android app开发者对漏洞信息不敏感等原因，并未做到及时修补，从而导致漏洞的存在。
　　总之，Android app的安全问题，很大程度上可能是开发者犯下的低级错误。较为有效的解决办是能够在代码编写过程中使用SDL编码流程，同时使用漏洞扫描产品对app进行检测，不断修补自身app的安全问题。安全无小事，所有app开发者都应重视。
　　总结
　　本次检测采用了11个类别app中同等数量的热门app，共扫描出近2500个漏洞，平均每个android app有40个安全漏洞，且约97%的测试app或多或少都存在安全漏洞。这些数据反映出android app漏洞问题的严峻性，在app市场上，很多android app都存在潜在的安全风险，一旦被利用，会给用户和开发者带来很大影响。
　　从漏洞检测结果来看，android app的漏洞问题不容乐观，这些问题是否可以规避？是否有自动化的漏洞扫描产品供app开发者使用？是否可以降低开发者和用户的利益受损程度？ 答案是肯定的，除了加强app开发者的安全意识，在app发布之前利用 App安全工具进行漏洞扫描检测可以及早发现隐含的安全问题，保护开发者利益，保护用户利益。