Android /开发安全隐患

Question

Android应用程序开发者需要知道的最重要的安全问题是什么？他们需要注意的最大缺陷或各种漏洞是什么？每个答案都有一个安全问题。我特别感兴趣的是实现级别的问题，软件缺陷等等。

编辑:我最感兴趣的是实现级故障(而不是概念/架构/设计缺陷)，以及Android应用程序特有的缺陷(而不是适用于所有应用软件或所有网络连接客户端软件的缺陷)。使用Android开发者需要了解的Android是否存在缺陷？我还对解释该缺陷如何在代码中显示，或者在代码中查找什么来识别该缺陷的答案感兴趣。(示例代码段将是特别精彩的。)

Answer 1

对过境数据的保密性和完整性保护不足。智能手机通常会连接到不值得信赖的网络(例如GSM或由未知方操作的无线网络)：在向网络主机或从网络主机发送数据时，假定数据可以被篡改或读取。

Answer 2

除了已经提到并适用于几乎任何软件应用程序的事情之外，请记住，应用程序隔离与人们所期望的相去甚远:现有的Android信任模型--您可以安装并运行这些应用程序--它们将无法访问彼此的数据，这可能是对Android安全的最大威胁。这一模式一再遭到破坏，并显示出根本上存在缺陷。即使在Android(Linux)不安全的操作系统中，恶意应用程序也可以使用隐蔽通道传输数据，也可以使用侧通道推断其他应用程序的信息。CPU缓存定时攻击是这里最流行的攻击，但是像Android这样的复杂平台为隐藏信息流提供了更多的通道。

因此，不仅网络和SD卡不安全，您也几乎没有保证私有App文件夹中的数据是安全的。如果您编写了一个安全敏感的应用程序，那么对所有本地存储进行加密是您所能做的最起码的(不幸的是，也是最.)。

如果您编写了多个应该相互通信的应用程序，请查看可用于此目的的权限系统以及sharedUserId：http://developer.android.com/guide/topics/security/security.html的语义。

Answer 3

对数据的保护不足，使其免受设备的物理盗窃。您可能拥有只有手机所有者才应该访问的数据:不要假设触摸屏的操作员实际上是手机的所有者。