保护您的Android应用程序：Android应用程序安全一览

我们都知道Android是为所有人设计的——开放、面向开发者、面向用户，这种开放性为今天和明天的移动技术提供了很多便利。然而，开放性也带来了需要妥善处理的安全风险。

安全是我们所有人都关注的重要问题。无论是我们的个人数据、电子邮件、电话号码、凭证、服务器之间的通信、固件等，我们都希望保护我们的信息安全。

作为Android开发者，您必须从头开始考虑安全性来构建应用程序。用户信任您的应用程序处理敏感数据，并期望其隐私和安全得到尊重。

在本博客中，我将介绍在开发Android应用程序时在安全方面应遵循的基本原则和最佳实践。

让我们继续探讨您的Android应用程序应该实施哪些安全措施：

• 保护应用程序和用户数据
• 保护系统资源（包括网络）
• 将应用程序与系统、其他应用程序和用户隔离开来

安全编码实践

作为开发者，在构建应用程序时，我们有意或无意地遵循某些实践来考虑安全性。虽然有许多具体的情况可以深入探讨，但我将介绍一些基本原则：

1. 访问控制
   访问控制是应用程序安全的基本方面，对保护敏感数据和确保只有授权用户可以与应用程序或其资源进行交互起着关键作用。

2. 密码管理
   采用多因素身份验证和其他现代密码管理实践可以增强安全性，防止钓鱼，实现安全远程访问，并限制数据泄露的影响。

3. 错误处理和日志记录
   这些是应用程序安全的组成部分，通常被忽视。仔细考虑要记录什么以及如何测量正确的错误事件有助于您快速识别、减轻和响应安全事件。确保不记录暴露给错误发生的敏感数据。

4. 系统配置
   清理系统中所有不必要的文件、文件夹和不可用的项目组件，并确保所有正在使用的软件都已更新为最新版本和补丁。在进入Google Play商店发布之前，确保您的开发和生产环境的安全性。在开发平台及其修补程序的最新版本上进行工作。

软件更新包括修复漏洞的补丁，使定期更新成为最重要的安全编码实践之一。这种做法可以帮助您的业务保持更新。

1. 威胁建模（文档化、定位、解决和验证）
   在设计系统架构时会分析某些方面，特别是评估存在哪些潜在威胁以及它们的利用会产生多大影响。威胁建模是一个多阶段的过程，应该在开发生命周期的不同阶段中进行整合，但理想情况下，您应该在规划阶段准备一个威胁模型，并在整个软件开发生命周期中不断完善，例如记录威胁、定位威胁、解决威胁和验证威胁。

2. 密码学实践
   有许多密码学方法，每种方法都有其优缺点。目标是选择适合您特定安全需求的方法，将其作为附加控制而不是唯一的控制，并随时间不断审查和升级，而不是盲目地依赖它而不进行漏洞测试。以下是您可能希望了解的详细信息。您可能已经遵循其中的一些方法——对其进行完善。

3. 输入验证
   曾经想过用户输入的任何误导性数据是否会破坏我们的安全屏障？为了解决这个问题，不仅需要了解要验证的内容，还需要了解如何有效地进行验证。以下是确保强大输入验证的关键要点：

• 应用程序的集中式输入验证例程
• 预期的数据类型
• 数据范围/数据长度
• 验证重定向的数据
• 任何验证失败都应导致输入被拒绝；在编程世界中从不做任何假设。

牢记的最佳实践

• 禁止访问应用程序的内容提供程序

<provider
    android:name="androidx.core.content.FileProvider"
    android:authorities="${applicationId}.provider"
    android:exported="false" <!-- 包含的关键点 -->
    android:grantUriPermissions="true">
    <!-- 示例元数据 -->
    <meta-data
        android:name="android.support.FILE_PROVIDER_PATHS"
        android:resource="@xml/provider_paths" />
</provider>

• 配置网络安全
  在不更改任何应用程序代码的情况下，可以按照以下步骤进行：

1. 在manifest.xml文件中声明您的文件。

<manifest ... >
    <application
        android:networkSecurityConfig="@xml/network_security_config"
        ... >
        <!-- 在这里放置<application>元素的子元素。 -->
    </application>
</manifest>

2. network_security_config文件中包含什么内容？

<network-security-config>
    <domain-config cleartextTrafficPermitted="false">
        <domain includeSubdomains="true">secure.example.com</domain>
        ...
    </domain-config>
</network-security-config>

这会强制仅使用HTTPS内容。此外，在开发过程中，您可以选择允许用户安装证书以进行调试和分段环境，而不影响最终的生产发布版本：

<network-security-config>
    <debug-overrides>
        <trust-anchors>
            <certificates src="user" />
        </trust-anchors>
    </debug-overrides>
</network-security-config>

注意android:exported属性：
无论是活动、广播接收器、服务等组件，都可以由应用程序的其他组件启动。
如果为true，则任何应用程序都可以访问该活动并通过其完整类名启动它。
如果为false，则只有相同应用程序的组件、具有相同用户ID的应用程序或特权系统组件可以启动该活动。
不明确设置此属性会带来在某些设备之间存在不同默认值的风险。

• 隐式意图劫持
  当开发者在调用意图时错误地包含通配符条目而未指定完全限定的组件名称或类名时，会发生隐式意图劫持。这种疏忽可能使恶意应用程序注册一个意图过滤器，拦截预期的操作。开发者的这种错误行为可能会泄漏敏感信息/数据或启动受攻击者控制的组件。
  正确调用意图的方式如下：

val intent = Intent("android.intent.action.CREATE_DOCUMENT").apply {
    addCategory("android.intent.category.OPENABLE")
    setPackage("com.<YourOrganization>.<YourPakagename>")
    setType("*/*")
    putExtra("android.intent.extra.LOCAL_ONLY", true)
    putExtra("android.intent.extra.TITLE", "<Your Any String>")
}

startActivity(intent)

• 防止点按劫持和数据混淆
  点按劫持攻击用于欺骗用户执行某些操作。
  风险：完全遮挡
  在完全遮挡中，攻击者覆盖了触摸区域以劫持触摸事件。通过在代码中设置View.setFilterTouchesWhenObscured(true)可以阻止完全遮挡。这将阻止由覆盖层传递的触摸。如果您更喜欢声明性方法，还可以在要保护的View对象的布局文件中android:filterTouchesWhenObscured="true"。
  
  PC：Google Android Developers - Full-occlusion
  风险：部分遮挡
  

PC：Google Android Developers - Partial-occlusion
最后，理解和减轻点按劫持似乎并不是什么难事。

结论

保护应用免受任何安全漏洞的侵害需要始终如一的努力和奉献。