安卓APP都有哪些常见的漏洞？

用微信扫码二维码

分享至好友和朋友圈

1. 权限滥用

权限为normal权限,可能导致敏感信息泄露；如果程序具有root权限，且没有对调用做限制的话，可能被恶意利用；同源绕过漏洞，activity接收使用file://路径的协议，却没有禁用Javascript的执行，通过此漏洞可以读取应用的任意内部私有文件，造成信息泄露。

2. https验证类漏洞

漏洞可导致中间人攻击，应用没有校验服务器证书，可导致中间人攻击，泄露通信内容.

3. Log敏感信息泄露

android应用程序在程序运行期间打印了用户的敏感信息，然后这些记录被存储在操作系统中，一般的存储路径为/data/data/应用程序名。

这些信息可以被其他程序非法读取。尤其是这些数据是敏感的信息如用户名/密码，传输的数据等。这些Log造成敏感信息泄露。

4. 不安全的配置

全局可读文件，应用内存在其它任何应用都可以读取的私有文件，可能造成信息泄漏，app调试风险，允许程序被调试；私有文件存在敏感文件泄露风险；app备份风险，允许程序备份，可能导致用户信息泄露。

5. 组件安全漏洞

ContentResolver暴露漏洞，通过暴露的ContentResolver可以绕过provider的权限限制；

Activity安全漏洞，Activity存在崩溃或者异常，任意其它应用可导致存在此漏洞的应用崩溃或者功能调用；

Service安全漏洞，Service存在崩溃或者异常，任意其它应用可导致存在此漏洞的应用崩溃或者功能调用；

Receiver安全漏洞，BroadcastReceiver存在崩溃或者异常，任意其它应用可导致存在此漏洞的应用崩溃或者功能调用；

Activity组件暴露风险，Activity接口可被其它应用调用，用于执行特定的敏感操作或钓鱼欺骗；

广播信息泄露风险，广播可以被其他恶意程序进行接收，导致用户信息泄露或者终止广播。

特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.