android应用程序的顶级安全风险/攻击场景列表

Question

WHat是安卓应用程序可能面临的安全风险/攻击方案。这与这里讨论的OWASP十大移动安全威胁有关：https://www.owasp.org/index.php/OWASP_莫比尔县_安全性_项目

我想知道这十个威胁中的哪一个，如果适用的话，威胁是如何产生的，以及如何减轻威胁。

Answer 1

你的问题在这里可能无法用目前的形式回答。OWASP移动安全项目的全部要点是存在许多威胁，其中前十位是列出的，以及大量的缓解控制或活动。

1. 不安全数据存储
2. 弱服务器端控制
3. 运输层保护不足
4. 客户端注入
5. 拙劣的授权和认证
6. 不正确的会话处理
7. 通过不可信输入进行安全决策
8. 侧通道数据泄漏
9. 破译密码
10. 敏感信息披露

如果您阅读您链接的页面，您将看到他们的风险摘要，以及前十名中每一位的当前缓解控制列表，这仍是一项正在进行的工作，因此期望社区将帮助在文档中建立更多的细节。

所有这十个都适用于Android手机，所以请阅读每个手机的风险摘要，并查看应用程序，看看是否使用了任何缓解控制。

Answer 2

除了上面提到的Rory Alsop提到的漏洞之外，我还高度鼓励您研究研究人员所遇到的Android特定漏洞。几个链接:-

• 看看"Comdroid“及其背后的研究。
• 看看同样对Android权限所做的研究-- "Android权限神秘化“。
• 有一个非常棒的Defcon 19对话，名为"7种使用谷歌Android上吊自己的方法“--这是一个必须注意的问题。