目前安卓应用的安全现状,随着安卓应用的快速暴涨,相应的漏洞也逐渐增加。同时,市场上也出现了专业的安卓应用测试工具:爱内测/testin,个人认为testin的兼容性测试还是不错的。一般测试的过程如下:
1、安装包测试
安装包结构、能不反编译出源代码、安装包是否签名、重要函数、逻辑、加密算法、是否开启PIE Flag。
2、数据传输测试
关键数据是否加密、客户端对服务器验证、传输加密、伪造;通过设置代理或使用第三方抓包工具,对应用发送与接收的数据包进行截获、重发、编辑、转存等恶意操作。
3、数据验证测试
程序是否对数据合法性校验,检查加密是否可逆,可攥改。程序是否对数据合法性进行了校验。
4、数据存储测试
是否保存手机号、密码等敏感信息、日志中是否存敏感信息、数据是否被别的应用访问、硬编码、日志、内存、调试信息、组件
(Activity/Service/Receiver/Provider)Keychain、屏幕快照、键盘存储。
5、安全增强测试
从服务端安全、键盘劫持、进程保护、第三方SDK安全检测。
6、安全策略测试
密码策略、登陆次数、密码保护机制、会话保护策略。
