浅谈Android应用安全问题与策略
(110000 辽宁装备制造职业技术学院 辽宁 沈阳)
【摘 要】现在是互联网和智能移动设备的时代,人类的生活已经离不开各种各样的APP,而承载APP的基础就是Android系统,所以说智能时代的发展离不开Android系统,也是因为Android系统的高速发展才带来现在智能移动设备的飞跃,换言之,现在信息社会的发达全部来源于Android系统的进步与发展,但是这个系统也并不是完美无缺的,他也存在自身的短板,他的安全问题一直以来都是人们关注的问题。
【关键词】应用安全;Android系统;方法对策;安全性;恶意软件进入二十一世纪之后,智能系统不断得到开发和应用,目前最炙手可热的系统就是Android,现在已经成为用户人数比例最多的使用系统,虽然使用的人数非常多,但是还是存在非常多的问题,在研发该系统当中存在各种各样的安全问题。本质上没有任何一个系统是有绝对安全的可能,但是也应该尽量在研发和根据用户使用的过程中发现问题时候及时修正,尽量维护其安全性。
一、Android系统应用安全问题表现分析
根据相关的数据显示,全世界的网民总人数已经高达55.6亿人,占人口比例的百分之八十,这是一个非常庞大的数据。因为移动智能的发展,手机网民的人数更是占据其中的百分之九十九点八。这也意味着现在已经进入了一个移动互联网时代,而网民使用的系统大多数是Android系统,其比例已经高达百分之八十,在进入移动互联网时代之后,Android系统的使用人群更是以指数级的量在增长,现在每天使用Android系统应用进行网络购物,移动付款,看网络视频,听网络音乐,玩网络游戏的人已经非常多。虽然现在移动互联网带给人类方便,但是其风险还是存在的。网民在使用移动设备的同时,并没有具备相关的权限保护意识,导致非常多的手机病毒进入手机,致使个人资料泄露,这些问题在与日俱增的网民人数中越来越突出,这都是值得我们思考的。
Android系统是由谷歌公司开发的,他的独特性是其他系统没有的,Android系统具有其独特的开放性与开源性还有可以定制的功能,这些属性使得各种各样的APP可以使用于不同的芯片厂商、不同的手机开发商以及不同的应用开发者,但这也导致软件没有办法做到统一管理,因为没有统一的标准。虽然包容性使得Android系统成为使用人数最多的系统,但是也给了不法之徒可乘之机。现在的Android系统大致可以分为五个层次:设备安全层,系统安全层,数据安全层,网络安全层,应用安全层,这五个安全层中我们讨论的焦点将集中在应用开发层面。
现在网络安全问题最频繁的就是用户在使用互联网时的隐私数据泄露,隐私数据被写去的主要途径有以下两种,第一是被恶意软件窃取,第二是移动设备的使用者会一直将移动设备随身携带,在经过某些公开场合时,在使用者离开手机或者连接其WiFi的时候,不法分子就会将其隐私信息窃取,甚至直接将其钱财盗走。
二、Android安全问题产生的根源
Android系统相比较于iOS系统来说是具有更多的包容性,他是一种开放的操作系统,可以在一定程度上满足用户的自主性,但是也带来安全性无法保证的问题,因为这些安全性,很多不法之徒都会采取攻击手段来获取利益。近年来Android系统的开发者针对这些问题,设置了比较复杂的安全机制,一般的开发者没有办法很容易的对Android系统进行攻击,开发者必须要理解他们,这样才可以有相对应的策略进行攻击,这样更好的保护了这个系统,为用户的使用安全增加了一定的保障。
现在已经很少出现有人会对特定的移动短剑安全漏洞进行针对性的攻击,这基本不可能实现,现在采用的攻击都是在人们意想不到或者没有足够重视的地方,而且Android系统庞大,本身存在的漏洞也非常多,所以要对其进行攻击根本不是很难的事情,尤其是针对性的攻击,因为现在的攻击工具已经非常成熟,一部分是因为Android系统并未做到真正的严谨,另一部分原因是因为这个系统实在是太庞大,单纯依靠人力是非常难对每个漏洞进行搜索的,更别提是要对漏洞进行补缺,一旦征对性攻击出现,在这个系统内的用户隐私都会被暴露出来。
轻则是用户的隐私资料会被人盗用,重则可能会产生经济损失。攻击的用户采用的方法大多是钓鱼攻击,这对Android系统来说是一个巨大的问题,长此以往会造成很严重的信用问题和法律风险问题,但是这也是Android要尽快占有市场所导致的。
三、如何有效的从内部解决Android存在的安全隐患Android系统的数据存储一般分为两部分,一部分是对外区域的存储,即使用外接卡SD卡,另一部分就是内部存储,即所谓的NAND闪存,这两者虽然都是存储,但是却有非常大的不同,这些不同不仅体现在存储的大小,位置,最重要的还是体现在其安全权限上面,外部存储的SD卡是没有读写权限的管理的,所有的应用软件在安装使用都是非常随意的,使用者可以在外接SD卡上随意的创建、读取、修改、删除里面的任意文件。
而内部存储的NAND卡则是需要有修改权限的,使用者没有得到授权的前提下,在系统内部本身的应用是没有办法被修改的。除此之外,NAND内部存储还会设置私有区域,这个区域是有控制权限的,是在Linux文件的权限下控制的,里面的每一个文件的ID均是有读的,其他软件没有办法读写里面的文件,这大大保护了应用的安全性。
数据存储出现的问题具体有以下几点。首先是将隐私疏浚铭文保存在SD外接卡里面,因为现在大部分软件都需要大量的存储空间,如果全部将这些内容存储到内部NAND内存卡中可能会造成系统的使用瘫痪,很多Android系统的使用者都有这样的体验,在系统使用一段时间后就会变得十分卡顿,这对于用户的使用体验是极其差的,为了避免这个问题,很多用户都会将占有空间大的软件存储安装到外部的SD存储卡上面。
举个例子说明,现在的聊天软件使用非常频繁,里面大量的聊天内容和图片都会被存储到存储卡当中,但是因为内容太多经常导致存储空间爆满,这也就让用户不得不将这些内存占有量十分大的软件安装到外部SD卡当中,因为这可以减轻内部存储卡的负担,这是搭载Android系统的移动设备的一个长期诟病,因为以前的Android系统都会有大量的伴生软件,这些软件都是因为广告的原因加入Android系统当中,而且这些软件都是不可以被删除的,而且占据了大量的空间,这就导致了一部搭载Android系统的设备本身可能会有16G的使用内部存储空间,但是以内变相广告软件的加入导致这个设备的真实空间只有4GB,这就大大降低了移动设备的使用效率,这也是Android系统的一个策略问题,因为占有非常大的市场空间,因此肆无忌惮的加入这些占据内存的软件,这导致了用户的使用感极差,但是因为当时市面上只有这款操作软件,因此市场占有率还是不断增长,这就导致了使用者没有办法再原本的设备上下载应用软件,也就因为这个原因导致安全问题的出现。
为了解决原本没有办法使用更多空间的问题,Android系统设备在每台设备当中都添加了一个外接SD存储卡的功能,这也是为了解决用户存储空间不够的问题,但是随之而来的安全问题却更加严重,因为外部SD存储卡是没有任何权限,所有使用者都可以任意修改里面的东西,甚至外部使用者只要连接到卡上面也可以随意修改。除此之外,将系统数据明文保存在外部SD存储卡当中会造成被恶意软件读取的可能,除了被读取还有可能被攻击,原因是备份软件和辅助系统会默认的把一些数据备份,而这些备份大多开始的时候都会被设置存储到外部SD卡当中,很多用户也会手动设置将这些内容自己储存到SD卡当中,为的就是可以躲过系统的检测,自己可以用移动设备升级以及刷机,但是这些设定在Android系统中是不被允许的,所以只能存储到SD卡当中才可以做到这样的串改,但是这些数据明文被备份后就没有了系统的保护。
除了聊天软件,很多其他APP的数据都会在使用者安装APP的时候被设置存储到外部SD卡当中,这样也是为了减轻移动设备的运行负担,但是这样的设置也会导致在运行的时候被读取,这些数据一旦被读取轻则会被人窃取资料,重者可能会变为黑客攻击的对象。
如果要解决这样的问题最简单的办法就是将数据存储到内部的NAND存储卡当中,这样可以受到系统的保护,虽然这也不是一定安全,但是比安装到外部SD存储卡中的安全等级略高,如果内部存储空间确实有限,一定要把这些软件安装到外部存储卡当中,就只能在每次启动这些软件的时候对其进行一个检测,虽然比较麻烦,但这是比较有效的防止攻击手段,因为现在为了针对外部安装文件的问题,很多开发商都在研究检测软件,最安全的办法就是将软件使用前后的数据进行对比,这样就可能避免被篡改。很多软件在使用和安装时就是以内没有对列表文件进行完整性的验证,最后导致被篡改。
目前Android系统最多被攻击的方法被称为重打包,黑客可以通过修改,利用重打包对其进行恶意修改代码,修改其中的数据和指令,但是这些修改只是内部的修改,一般不会影响到APP原有的功能和使用界面,所以使用者根本不可能发现其中的内容已经被修改,用户一般也不会对其进行检测。
四、Android系统连接网络时候的问题应如何处理除了在移动设备当中被恶意攻击外,Android系统App被攻击的另外一个途径就是连接到WiFi的时候,因为当App连接到WiFi网络或者服务器的时候,Android系统就会变成一个开放性的网络,这样的网络是没有安全可言的,使用者的所有数据都会通过互联网被监控,因为黑客可以通过自己设置的WiFi网络进行钓鱼,一旦被钓鱼,用户的所有数据都会被监控,黑客可以轻易修改其中的root权限,这样就可以在用户使用网络的时候被监控。
一般来说,攻击者都会在WiFi网络中设置钓鱼软件,这样就可以通过设置DNS服务器与使用者的移动设备进行连接,在连接之后,黑客会修改当中的一个证书,但是一般的检测软件都会忽略这个证书的修改,当然最直接的攻击方式就是黑客模拟客户端,与服务器进行联系,最后充当其中的中间商进行监听。
五、结语
现在是互联网的时代,也是移动设备的时代,几乎所有人都会通过手机来进行软件的下载,但是其中的安全问题值得深思的,但是这是Android系统的开放性导致的,这也是没有办法避免的,Android系统也在尽可能的修改这些漏洞,除此之外很多开发商也在开发研究防止入侵的软件,这些软件的大量使用也可以很大程度的阻止Android系统的被攻击,是Android系统的额外补充。
参考文献:
[1]李峥,王东方,郭伟.计算机网络应用安全问题分析与防护策略研究[J].信息与电脑(理论版),2018(15):202-204.
[2]欧启升,李雪萍.计算机网络应用安全问题与防护策略探讨[J].计算机产品与流通,2018(08):33+90.
[3]余路.计算机网络应用安全问题及应对策略研究[J].电子技术与软件工程,2016(06):221.
作者简介:
朱云娜(1980-),女,汉族,山东人,研究生硕士,辽宁装备制造职业技术学院,讲师,教研室主任。