如何浅谈APP存在的安全问题

1 背景分析

互联网时代到来时，人们曾经感慨，一切都在被数字化。而今天，一切都在移动化。在大街小巷民众低头忙着划动屏幕成为一景。据国外权威机构统计，中国智能手机已经占到手机总销量的96%，古老的功能手机，基本上退出了历史舞台。据美国市场研究公司eMarketer最近的一个报告称，权威市调机构Gartner的数据显示，在中国，智能手机在手机中销量的占比位96%，而美国也是96%。换言之，在移动互联网的硬件层面，中国和美国已经在一个水平上。

智能手机的普及随之推动了手机app的快速发展，当前手机app可涉及小到沟通聊天、外卖预定、车票预定、旅游预定、购物、新闻浏览等，大到银行投资理财、医院挂号、支付交易等，一个人的一天活动基本可依赖手机完成。正因为对app的大量普及，很多软件开发商都看到了这块市场带来的利益，随着利益的驱动，各种各样的app层出不穷，app的市场也是鱼龙混杂。速成化的app在安全方面并没有得到很好的保证，进几年通过app泄露个人信息的事件也层出不穷。

通过大数据分析，对当前手机手机上常用app做了统计数表如下：

从图表统计不难看出，几乎每个手机上都安装有聊天、视频娱乐、购物等相关app，那这些app是怎样在手机上工作的呢？又会不知不觉获取手机的哪些信息呢？

2 手机app的常见安全问题

伴随着技术的发展，手机的功能还远远不只这些，大数据时代已经到来，智能家居物联网时代也随之而来，此处以安卓app即apk来进行分析，下载任意apk，修改其后缀为tar，即可查看部分apk的相关文件

AndroidManifest.xml为Android应用的入口文件，它主要描述了安装包中暴露的组件、各个类的实现、软件的相关读取权限等。此处获取的AndroidManifest.xml文件的具体内容如下：

通过对AndroidManifest.xml文件的具体分析，可得知当前app获取到的手机权限如下：

其中主要的权限包括允许读取手机状态、允许拨打电话、允许读取联系人、允许修改系统全局设置、允许创建蓝牙连接、允许定位、允许开机自动启动等等相关权限。如果在用户在使用该款app时使用了默认安装模式，那么可能会造成用户相关信息的泄露。

熟悉Android开发的都了解，Android应用有四大组件，即Activity，Service服务,ContentProvider内容提供者，BroadcastReceiver广播接收器。

先来说下activity组件，activity组件之间通信是通过Intent进行通信，为用户操作展示可视化界面，一个Android应用必须通过activity组件来运行和启动。Application之间虽然相互独立，但是可以通过app中的activity组件进行互相通信、调用、访问等，该app的activity组件如下：

通过该apk进行分析可发现，其入口activity组件是com.meiyou.pregnancy.ui.welcome.WelcomeActivity，app在启动时调用了其他的activity组件，当activity组件可以进行导出时，可被第三方app任意调用，造成敏感信息泄露还可能受到认证绕过、恶意代码注入、页面劫持等风险。

BroadcastReceive使应用对外部事件进行过滤只是对需要的事件进行接收并做出响应，并且其没有用户界面，但是却可以启动一个activity或service来响应收到的信息，使得不同组件或不同应用之间进行通信，首次启动app时，系统会自动实例NotificationProxyBroadcastReceiver，并注册到系统中。对于动态广播，有注册也要有注销，否则会导致内存泄露，并且重放注册和重复注销也是不允许的。