目前安卓应用的安全现状,随着安卓应用的快速暴涨,相应的漏洞也逐渐增加。同时,市场上也出现了专业的安卓应用测试工具:一般测试的过程如下:
  1、安装包测试
  安装包结构、能不反编译出源代码、安装包是否签名、重要函数、逻辑、加密算法、是否开启PIEFlag。
  2、数据传输测试
  关键数据是否加密、客户端对服务器验证、传输加密、伪造;通过设置代理或使用第三方抓包工具,对应用发送与接收的数据包进行截获、重发、编辑、转存等恶意操作。
  3、数据验证测试
  程序是否对数据合法性校验,检查加密是否可逆,可攥改。程序是否对数据合法性进行了校验。
  4、数据存储测试
  是否保存手机号、密码等敏感信息、日志中是否存敏感信息、数据是否被别的应用访问、硬编码、日志、内存、调试信息、组件
  (Activity/Service/Receiver/Provider)Keychain、屏幕快照、键盘存储。
  5、安全增强测试
  从服务端安全、键盘劫持、进程保护、第三方SDK安全检测。
  6、安全策略测试
  密码策略、登陆次数、密码保护机制、会话保护策略。