陈家林 - Android应用安全检测

所需积分/C币:15 2015-10-20 15:37:39 1.05MB PDF
收藏 收藏 3
举报

该文档来自MDCC 2015中国移动开发者大会。 陈家林发表了题为“Android应用安全检测”的主题演讲,欢迎下载!
Android应用典型问题分析 2062015移动开发者大会 Mobile Developer Conference China 2015 Activity暴露 某知名互联网手机隐藏工厂测试工具 FactoryTest apk中的 Activity暴 露,可被任意应用发起Inηtent调用,且有自动模式,导致 可以打开蓝牙,WFI 可以进入无限循环测试,对用户产生严重干扰 Activity,是组件的边界之 Android应用典型问题分析 2062015移动开发者大会 Mobile Developer Conference China 2015 Backup/ Restore(备份恢复) 某视频客户端免登陆的做法是服务器会下发一个 securityKey,在用户 登出之前,客户端一直利用这个 securityKey来跟服务器通信。 But 这个 securityh<ey是直接明文存放在数据库中,利用 Backup/ Restore就 能在另外一台root手机中窃取这个 securityKey,伪造客户端通信 备份恢复扩大了持久化存储的边界 Android应用典型问题分析 2062015移动开发者大会 Mobile Developer Conference China 2015 某应用云服务存在中间人攻击 某云服务使用 Https通信,但是如果手机被安装上恶意证书(例如, 利用“证书相关权限绕过”漏洞),并通过恶意代理, Https的数据 包还是可以被窃取和篡改的,如登陆账号和密码 解决方案是对敏感数据任需要加密,同时对证书进行验证 恶意证书破坏了 Https的保护边界 Android应用典型问题分析 2062015移动开发者大会 Mobile Developer Conference China 2015 基于剪贴板的攻击 很多R○M厂商都提供的验证码短信的提取定制,支持一键复制功能, 但是即使没有监听短信接收广播的恶意应用也可以通过监听剪贴板获 得验证码 验证码支持一键复制扩大了被盗边界 Android应用典型问题分析 2062015移动开发者大会 Mobile Developer Conference China 2015 微信抢红包神器 http://www.mobeisecurity.com/?p=223 神器在手,红包不愁!你没用,真的亏大了 其原理就是利用 Android提供的 Accessibility Service,拥有辅助功能的 app都可以监控任何应用的view,并且可以触发一些输入事件 Accessi|bly扩大了应用vew的边界 Android应用典型问题分析 2062015移动开发者大会 Mobile Developer Conference China 2015 1:00 更夸张的是微信支付密码沦陷 请输入支付密码 同样利用 Accessibility Service,监控 button的 Click 腾讯公司 拿到对应的text,密码轻松到手 ¥2997 的浦发银行信用卡() 你的vew不再是你的专属 解决方案,让敏感的view中 Accessibility失效 200元 300元 500元 价199.70元 害价299.5元 售价499.25元 setImportantForAccessibility (, not important setAccessibility Delegate(,空实现 delegate类 2580 369 如何分类 Android应用安全 2062015移动开发者大会 Mobile Developer Conference China 2015 安全的关键是定义边界 本地接口安全 传输安全 服务器安全 本地存储安全 Android安全边界分类 如何分类 Android应用安全 2062015移动开发者大会 Mobile Developer Conference China 2015 5个大类,29个测试点 本地接口安全 本地存储安全 传输安全 服务器安全 其他 组件安全 攻击窗口 外部动态类加 载 https安全 调试选项 Activity暴露 · Service暴露 eb view漏洞 共享变量存储 安全 不安全的加密 SQLI 允许备份 调试信息泄露 文件存储安全 水平权限提升 程序耗流量

...展开详情
试读 23P 陈家林 - Android应用安全检测
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    一个资源只可评论一次,评论内容不能少于5个字
    dreamrising 学习了,有用
    2018-12-14
    回复
    sherwel 仅供参考。感觉ppt 有点简略
    2017-11-01
    回复
    jjerry2005 很不错,学习了
    2016-12-07
    回复
    qwerasdfzxc1111111 不错,看了很有启发,但是不够细节
    2016-06-15
    回复
    一直奔跑的熊猫 很不错的,正好要写PPT
    2016-03-01
    回复
    img
    唐门教主
    • 签到王者

      累计签到获取,不积跬步,无以至千里,继续坚持!
    • 技术圈认证(专家版)

      博客专家完成年度认证,即可获得
    • 分享王者

      成功上传51个资源即可获取

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    陈家林 - Android应用安全检测 15积分/C币 立即下载
    1/23
    陈家林 - Android应用安全检测第1页
    陈家林 - Android应用安全检测第2页
    陈家林 - Android应用安全检测第3页
    陈家林 - Android应用安全检测第4页
    陈家林 - Android应用安全检测第5页
    陈家林 - Android应用安全检测第6页
    陈家林 - Android应用安全检测第7页

    试读已结束,剩余16页未读...

    15积分/C币 立即下载 >