安卓終端常見(jiàn)安全問(wèn)題以及規(guī)避方法分析

吳進(jìn)，王潔

安卓終端常見(jiàn)安全問(wèn)題以及規(guī)避方法分析

吳進(jìn)，王潔

（西安郵電大學(xué) 電子工程學(xué)院，陜西 西安 710121）

隨著Android系統(tǒng)市場(chǎng)份額的持續(xù)增加，安卓移動(dòng)終端在為用戶提供方便的同時(shí)，也正遭遇著越來(lái)越大的安全挑戰(zhàn)和威脅，嚴(yán)重地威脅著用戶的使用安全。盡管目前Android系統(tǒng)巳經(jīng)擁有了比較好的安全機(jī)制來(lái)確保用戶的使用安全，但在巨大的商業(yè)利益的誘導(dǎo)下，大量的攻擊者針對(duì)系統(tǒng)以及軟件的漏洞，以各種各樣的方式對(duì)Android用戶展開(kāi)攻擊。本文在移動(dòng)安全漏洞調(diào)查的基礎(chǔ)上，對(duì)出現(xiàn)比例較高的幾個(gè)漏洞做出了淺顯的分析，并提出了相應(yīng)的規(guī)避方法。

Android系統(tǒng)；終端安全；系統(tǒng)漏洞；規(guī)避方法

0 引言

2014年年末12306鐵路客戶服務(wù)中心的用戶信息泄露事件[1]，導(dǎo)致大量用戶的身份證號(hào)﹑銀行卡號(hào)﹑銀行卡密碼﹑手機(jī)號(hào)碼等重要敏感信息泄密事件；2015年春節(jié)過(guò)后仿冒美團(tuán)紅包木馬事件[2]，用戶受到紅包的極大誘惑，安裝了仿冒木馬應(yīng)用之后，將個(gè)人的身份證號(hào)﹑銀行卡號(hào)﹑銀行卡密碼﹑手機(jī)號(hào)碼等重要信息上傳到指定的服務(wù)器，被不法之徒竊取盜用；趕集網(wǎng)﹑58同城等安卓客戶端漏洞導(dǎo)致大量用戶重要信息泄露。

這些發(fā)生在我們身邊的重大信息安全事件，給我們敲響了終端信息安全問(wèn)題的警鐘[3]。擁有全球最大用戶使用量的安卓操作系統(tǒng)，同樣也面臨著嚴(yán)峻的安全威脅[4]，不論作為安卓的開(kāi)發(fā)者還是安卓的用戶本身，都迫切地希望安卓系統(tǒng)安全問(wèn)題能夠更早的被發(fā)現(xiàn)和解決。

文章首先對(duì)安卓終端安全問(wèn)題進(jìn)行了調(diào)查研究[5]，并在得出調(diào)查結(jié)果的基礎(chǔ)上，一方面對(duì)占總體漏洞比例最大的安卓數(shù)據(jù)存儲(chǔ)安全問(wèn)題做了簡(jiǎn)要的分析[6]，并給出了響應(yīng)的規(guī)避方法[7]，希望開(kāi)發(fā)者在開(kāi)發(fā)應(yīng)用程序過(guò)程中可以避免該類(lèi)安全問(wèn)題；另外一方面，從用戶的角度出發(fā)，給出了用戶安全使用安卓移動(dòng)終端的幾點(diǎn)建議，希望用戶可以減少不必要的安全隱患。

1 2014年度安卓系統(tǒng)安全調(diào)查

從2014年度各安全軟件的安卓系統(tǒng)安全反饋調(diào)查報(bào)告[8]中統(tǒng)計(jì)得出，安卓系統(tǒng)感染的病毒數(shù)呈現(xiàn)上升趨勢(shì)，從第一季度的3732034個(gè)增加到第四季度的8966602個(gè)；受到病毒感染的設(shè)備量也呈現(xiàn)明顯上升趨勢(shì)，從第一季度的2377712臺(tái)增長(zhǎng)到第四季度的7370278臺(tái)，平均每7.6臺(tái)安卓設(shè)備中就有1臺(tái)設(shè)備被感染病毒。圖1展示了2014年四個(gè)季度安卓病毒數(shù)量和安卓設(shè)備感染量的趨勢(shì)圖。

在病毒樣本方面[9]，惡意扣費(fèi)類(lèi)的病毒樣本所占得比例仍舊很高，達(dá)52%之多，比上一年上漲大約23%。在病毒感染的用戶量方面，流氓行為類(lèi)的病毒感染用戶所占比例最高，達(dá)46%之多；隱私竊取類(lèi)的病毒感染用戶所占比例明顯上升，達(dá)24%之多，比上一年上漲了大約85%；短信劫持類(lèi)的病毒感染用戶所占的比例明顯下降，僅占3%，相比上一年下降了81%。圖2展示了病毒感染情況的調(diào)查情況。

圖1 2014年度安卓設(shè)備感染病毒趨勢(shì)圖Fig.1 FY2014 Android devices infected trends

圖2 病毒感染情況調(diào)查Fig.2 Infection Situation

之所以有越來(lái)越多的設(shè)備感染各種各樣的病毒[10]，是由于安卓本身暴露的諸多系統(tǒng)或者軟件漏洞被很多不法之徒利用，所以解決安卓系統(tǒng)安全問(wèn)題的首要任務(wù)是找出這些漏洞，并能夠很好的規(guī)避掉這些漏洞，不讓攻擊者有機(jī)可乘。

1.1 各行業(yè)應(yīng)用漏洞類(lèi)型調(diào)查

在2014年度安卓用戶使用情況反饋的調(diào)查報(bào)告中統(tǒng)計(jì)[11]得出，大約有86%的移動(dòng)應(yīng)用存在漏洞，其中高風(fēng)險(xiǎn)的漏洞占33%，且熱門(mén)應(yīng)用的漏洞更多，各行業(yè)排名top5的應(yīng)用平均有25個(gè)之多的漏洞，圖3展示各行業(yè)應(yīng)用top5的漏洞情況。

1.2 熱門(mén)行業(yè)移動(dòng)應(yīng)用漏洞調(diào)查

在移動(dòng)應(yīng)用的漏洞中，以應(yīng)用數(shù)據(jù)的存儲(chǔ)為主，占48%的比例，大多數(shù)知名的應(yīng)用含有該漏洞，若此漏洞被黑客利用，則會(huì)影響數(shù)以億計(jì)的用戶，圖4展示了11個(gè)熱門(mén)行業(yè)top10移動(dòng)應(yīng)用的漏洞情況。

圖3 各行業(yè)應(yīng)用top5的漏洞情況Fig.3 The top5 vulnerability of the sectoral application

圖4 11個(gè)行業(yè)top10移動(dòng)應(yīng)用的漏洞情況Fig.4 The top10 Vulnerability case of mobile applications in 11 industries

本文在對(duì)2014年移動(dòng)安全漏洞調(diào)查的基礎(chǔ)上，針對(duì)各行業(yè)的top5的應(yīng)用中漏洞比例最大的Android數(shù)據(jù)存儲(chǔ)，給出了簡(jiǎn)要的描述和分析，并提出了相應(yīng)的規(guī)避方法。其中，Android數(shù)據(jù)存儲(chǔ)涉及Shared Preferences安全風(fēng)險(xiǎn)﹑Database配置模式安全風(fēng)險(xiǎn)﹑Content Provider文件目錄遍歷漏洞和Internal Storage安全風(fēng)險(xiǎn)。這些在后面的章節(jié)中都會(huì)講到。

2 安卓常見(jiàn)安全問(wèn)題研究

2.1 Shared Preferences安全風(fēng)險(xiǎn)漏洞

A.安卓Shared Preferences存儲(chǔ)安全風(fēng)險(xiǎn)描述

Shared Preferences一般主要用于儲(chǔ)存來(lái)自應(yīng)用的配置信息, 是一種基于XML文件的數(shù)據(jù)存儲(chǔ)方式。Shared Preferences存儲(chǔ)漏洞一方面是由于開(kāi)發(fā)者在創(chuàng)建文件的時(shí)候，沒(méi)能夠正確地選取適合的創(chuàng)建類(lèi)型進(jìn)行授權(quán)[12]；另一方面是由于開(kāi)發(fā)者在開(kāi)發(fā)軟件的過(guò)程中，過(guò)分的信賴Android系統(tǒng)內(nèi)部的安全存儲(chǔ)機(jī)制，將用戶信息﹑用戶密碼等敏感信息的明文存儲(chǔ)在Shared Preferences文件中。這樣就導(dǎo)致攻擊者可以通過(guò)對(duì)手機(jī)root來(lái)查看用戶信息。

B.安卓Shared Preferences存儲(chǔ)安全的影響范圍

Android所有系統(tǒng)

C.安卓Shared Preferences存儲(chǔ)安全風(fēng)險(xiǎn)分析

1)風(fēng)險(xiǎn)位置：

SharedPreferences.getSharedPreferences(String prefName, int mode);

2)風(fēng)險(xiǎn)觸發(fā)條件：

a)選取MODE_WORLD_READABLE的模式來(lái)創(chuàng)建Shared Preferences文件；

b)選取MODE_WORLD_WRITEABLE的模式來(lái)創(chuàng)建Shared Preferences文件，并包含有“android∶ sharedUserId”屬性的值以及測(cè)試簽名。

風(fēng)險(xiǎn)原理：

a)選取MODE_WORLD_READABLE模式來(lái)創(chuàng)建Shared Preferences文件，以使其他應(yīng)用對(duì)該Shared Preferences文件具有可讀的使用權(quán)限；

b)選取MODE_WORLD_WRITEABLE模式來(lái)創(chuàng)建Shared Preferences文件并包含有“android∶ sharedUserId”的屬性值，以使其他應(yīng)用對(duì)該應(yīng)用的Shared Preferences文件具有可寫(xiě)的使用權(quán)限；

c)具有root權(quán)限的程序以及用戶對(duì)通過(guò)任何模式來(lái)創(chuàng)建的Shared Preferences文件都具備有可讀并且可寫(xiě)的使用權(quán)限。

D.Shared Preferences存儲(chǔ)安全風(fēng)險(xiǎn)規(guī)避方法

1)避免選取MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式創(chuàng)建進(jìn)程間通信的文件；

2)不建議選取全局可讀寫(xiě)模式創(chuàng)建進(jìn)程間通信的文件；

3)不要將密碼等重要數(shù)據(jù)信息以明文存儲(chǔ)在Shared Preferences中；

4)避免濫用“android∶ sharedUserId”的屬性，與此同時(shí)，對(duì)應(yīng)用軟件使用測(cè)試簽名，這樣其他擁有“android∶ sharedUserId”的屬性值和測(cè)試簽名的應(yīng)用，都將不會(huì)訪問(wèn)到內(nèi)部存儲(chǔ)數(shù)據(jù)。

2.2 Database配置模式安全風(fēng)險(xiǎn)漏洞

A.Database配置模式安全風(fēng)險(xiǎn)描述

Database配置模式的安全風(fēng)險(xiǎn)，主要源自于開(kāi)發(fā)者在創(chuàng)建數(shù)據(jù)庫(kù)[13]時(shí)，沒(méi)能夠正確的選取合適的創(chuàng)建模式進(jìn)行權(quán)限控制，從而導(dǎo)致了數(shù)據(jù)庫(kù)中內(nèi)容被惡意的讀寫(xiě)篡改，造成用戶身份﹑密碼等其他重要信息的泄露。

B.Database配置模式安全的影響范圍

Android所有系統(tǒng)

C.Database配置模式安全風(fēng)險(xiǎn)分析

1)風(fēng)險(xiǎn)位置：

openOrCreateDatabase(String fileName, int mode, CursorFactory factory);

2)風(fēng)險(xiǎn)觸發(fā)條件：

選取非MODE_PRIVATE的模式來(lái)創(chuàng)建數(shù)據(jù)庫(kù)文件。

3)風(fēng)險(xiǎn)原理：

a)選取MODE_WORLD_READABLE的模式來(lái)創(chuàng)建數(shù)據(jù)庫(kù)文件，以使其他應(yīng)用程序?qū)υ摂?shù)據(jù)庫(kù)中的文件具有可讀的使用權(quán)限；

b)選取MODE_WORLD_WRITEABLE的模式來(lái)創(chuàng)建數(shù)據(jù)庫(kù)文件，以使其他應(yīng)用程序?qū)υ摂?shù)據(jù)庫(kù)中的文件具備可寫(xiě)的使用權(quán)限。

D.Database配置模式安全風(fēng)險(xiǎn)規(guī)避方法

1）避免選取MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式創(chuàng)建數(shù)據(jù)庫(kù)。

2.3 Content Provider文件目錄遍歷漏洞

A.文件目錄遍歷安全漏洞描述

Android Content Provider存在有文件目錄遍歷的安全漏洞[14]，該漏洞主要源自于對(duì)外暴露了Content Provider組件的應(yīng)用。一方面忽略了對(duì)Content Provider組件的訪問(wèn)權(quán)限的控制；另一方面，沒(méi)有對(duì)所訪問(wèn)的目標(biāo)文件的Content Query Uri進(jìn)行有效的判斷，攻擊者則利用了該應(yīng)用程序暴露的Content Provider的openFile () 接口來(lái)進(jìn)行文件的目錄遍歷，從而達(dá)到其訪問(wèn)任何可讀文件的目的。

B.文件目錄遍歷安全漏洞的影響范圍

Android所有系統(tǒng)

C.文件目錄遍歷安全漏洞分析

1)漏洞位置：

ContentProvider.openFile(Uri uri, String mode) ；

2)漏洞觸發(fā)條件：

a)向外界暴露了Content Provider組件實(shí)現(xiàn)的openFile()接口；

b)忽略了對(duì)所訪問(wèn)的目標(biāo)文件的Uri進(jìn)行有效的判斷。

3)漏洞原理：

向外界暴露了Content Provider實(shí)現(xiàn)的openFile()接口，因此其他具有調(diào)用該Content Provider權(quán)限的應(yīng)用可隨意調(diào)用該接口進(jìn)行文件數(shù)據(jù)訪問(wèn)。如果沒(méi)有對(duì)Content Provider的訪問(wèn)權(quán)限進(jìn)行控制，沒(méi)有對(duì)所訪問(wèn)目標(biāo)文件的Uri進(jìn)行有效的判斷，那么攻擊者則利用文件目錄遍歷方法來(lái)訪問(wèn)任意可讀文件。

D.文件目錄遍歷安全漏洞規(guī)避方法

1)將不必要導(dǎo)出的Content Provider設(shè)置為不導(dǎo)出；

2)除去不必要的openFile()接口，如果應(yīng)用的Content Provider組件沒(méi)有必要實(shí)現(xiàn)openFile()接口，建議移除該Content Provider中不必要的openFile()接口；

3)限制跨域的訪問(wèn)，對(duì)所訪問(wèn)的目標(biāo)文件的路徑進(jìn)行有效的判斷；

4)選用簽名驗(yàn)證的方法來(lái)控制Content Provider共享數(shù)據(jù)的訪問(wèn)權(quán)限。

2.4 Internal Storage安全風(fēng)險(xiǎn)漏洞

A.內(nèi)部存儲(chǔ)(Internal Storage)風(fēng)險(xiǎn)描述

內(nèi)部存儲(chǔ)是指開(kāi)發(fā)者使用設(shè)備內(nèi)部的存儲(chǔ)器來(lái)創(chuàng)建和保存文件，默認(rèn)的情況下，以這種方式所創(chuàng)建的文件只能被當(dāng)前的應(yīng)用程序訪問(wèn)，而不可以被其他程序或用戶訪問(wèn)。當(dāng)用戶卸載此程序的同時(shí)，這些文件也會(huì)隨之被刪除。如果在開(kāi)發(fā)過(guò)程中，沒(méi)有選用正確的創(chuàng)建模式來(lái)創(chuàng)建內(nèi)部存儲(chǔ)文件，將會(huì)導(dǎo)致用戶身份﹑密碼等重要信息泄露。

B.內(nèi)部存儲(chǔ)(Internal Storage)風(fēng)險(xiǎn)影響范圍

Android所有系統(tǒng)

C.內(nèi)部存儲(chǔ)(Internal Storage)風(fēng)險(xiǎn)分析

1)風(fēng)險(xiǎn)位置：

openFileOutput(String fileName, int mode);

2)風(fēng)險(xiǎn)觸發(fā)條件：

a)選取了“android∶ sharedUserId”屬性；

b)選取MODE_WORLD_READABLE模式創(chuàng)建內(nèi)部存儲(chǔ)文件；

c)選取MODE_WORLD_WRITEABLE模式創(chuàng)建內(nèi)部存儲(chǔ)文件；

d)Android設(shè)備被root。

3)本地?cái)?shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)原理：

a)選取了“android∶ sharedUserId”屬性，使得其他擁有該屬性值的應(yīng)用程序?qū)υ搩?nèi)部存儲(chǔ)文件具有可讀的使用權(quán)限；

b)選取了MODE_WORLD_READABLE模式來(lái)創(chuàng)建內(nèi)部存儲(chǔ)文件，使得其他的應(yīng)用程序?qū)υ搩?nèi)部存儲(chǔ)文件具有可讀的使用權(quán)限；

c)選取了MODE_WORLD_WRITEABLE模式來(lái)創(chuàng)建內(nèi)部存儲(chǔ)文件，使得其他的應(yīng)用程序?qū)υ搩?nèi)部存儲(chǔ)文件具有可寫(xiě)的使用權(quán)限；

d)獲取root權(quán)限后的應(yīng)用或者用戶對(duì)任何模式創(chuàng)建的內(nèi)部存儲(chǔ)文件都具備有可讀可寫(xiě)的使用權(quán)限。

D.Android本地?cái)?shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)規(guī)避方法

1)避免選用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式來(lái)創(chuàng)建進(jìn)程間通信的內(nèi)部存儲(chǔ)文件，如果必須與其他進(jìn)程的應(yīng)用程序進(jìn)行數(shù)據(jù)共享，請(qǐng)考慮使用content provider；

2)避免濫用“android∶ sharedUserId”屬性，與此同時(shí)，對(duì)應(yīng)用程序使用測(cè)試簽名，否則其他擁有“android∶ sharedUserId”屬性值以及測(cè)試簽名的應(yīng)用程序，將可以訪問(wèn)到內(nèi)部存儲(chǔ)數(shù)據(jù)；

3)避免將用戶的密碼等重要信息以明文存儲(chǔ)在內(nèi)部存儲(chǔ)文件中，盡管Android系統(tǒng)內(nèi)部的存儲(chǔ)安全機(jī)制，使得系統(tǒng)內(nèi)部存儲(chǔ)文件不會(huì)被其他應(yīng)用程序讀寫(xiě)，但是在Android系統(tǒng)root之后，該安全機(jī)制也會(huì)隨之失效，從而導(dǎo)致信息泄露。

3 用戶安全使用移動(dòng)終端的建議

下面針對(duì)安卓用戶安全使用移動(dòng)終端，給出我自己的幾點(diǎn)建議：

1)不在公共場(chǎng)合接入不需要輸入密碼或者沒(méi)有手機(jī)驗(yàn)證碼的無(wú)線網(wǎng)絡(luò)；

2)不信任的無(wú)線網(wǎng)絡(luò)不要進(jìn)行金錢(qián)﹑隱私的操作（后臺(tái)可能也有交互，不可靠）；

3)手機(jī)不ROOT（這個(gè)不是絕對(duì)的，ROOT也有好處）；

4)在正規(guī)應(yīng)用商店下載官網(wǎng)的應(yīng)用軟件；

5)不在陌生的應(yīng)用軟件上提交個(gè)人重要信息；

6)裝一個(gè)必要的安全軟件；

7)養(yǎng)成健康﹑良好的上網(wǎng)習(xí)慣。

4 總結(jié)

本文從安卓數(shù)據(jù)存儲(chǔ)漏洞方面著手，簡(jiǎn)單的介紹了安卓系統(tǒng)中常見(jiàn)的安全問(wèn)題及相應(yīng)的規(guī)避方法，希望能對(duì)安卓開(kāi)發(fā)者及安卓用戶有所幫助。

對(duì)用戶而言，具體的規(guī)避主要還是靠自己進(jìn)行識(shí)別。平時(shí)注重安全意識(shí)，養(yǎng)成良好的使用習(xí)慣，出現(xiàn)問(wèn)題時(shí)只要能夠及時(shí)的發(fā)現(xiàn)，就可以比較容易的進(jìn)行清除。

對(duì)于開(kāi)發(fā)人員而言，要有良好的道德操守，不能被金錢(qián)利益所迷惑，做出違法犯罪的事情。平時(shí)也應(yīng)該注意安全漏洞，不要讓不法之徒有機(jī)可乘。

[1] 阿里聚安全.2014移動(dòng)安全年度報(bào)告[EB/OL].(2015-01-05) [2015-05-28].http://jaq.alibaba.com/blog.htm? spm=0.0.0.0.Ml4qFD&id=44.Ali poly security.Mobile Security 2014 annual report[EB/OL].(2015-01-05) [2015-05-28].http://jaq.alibaba.com/blog.htm? spm=0.0.0.0.Ml4qFD&id=44.

[2] 黑客技術(shù).安卓本地?cái)?shù)據(jù)安全[EB/OL].(2015-03-10) [2015-05-28].http://www.hackdig.com/03/hack-19439.htm Hacking techniques.Android local data security[EB/OL].(2015-03-10)[2015-05-28].http://www.hackdig.com/03 / hack-19439.htm.

[3] 胡愛(ài)群.關(guān)于智能手機(jī)安全問(wèn)題的若干思考[J].數(shù)據(jù)通信, 2012(2):22-26.A Q Hu.Reflections on smartphone security issues[J].Data communication, 2012(2):22-26.

[4] 孫偉.Android移動(dòng)終端操作系統(tǒng)的安全分析[J].軟件, 2013(34):105-108.W Sun.Safety Analysis of Android mobile operating system[J].Software, 2013(34):105-108.

[5] 許黎.基于漏洞檢測(cè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué), 2007:37-57.L Xu.Research and implementation of network security vulnerability detection system based on risk assessment[D].ChengDu:University of Electronic Science and Technology, 2007:37-57.

[6] 鄧藝璇.智能手機(jī)平臺(tái)上的安全機(jī)制的分析與實(shí)施[D].北京:北京郵電大學(xué), 2013:20-34.Y X Deng.Analysis and implementation of security mechanisms smartphone platform[D].BeiJing:Beijing University of Posts and Telecommunications, 2013:20-34.

[7] 劉海峰, 宋阿羚, 劉守生.基于安全及人為因素的高速公路換道模型設(shè)計(jì)[J].新型工業(yè)化, 2014(12):12-19.H F Liu, A L Song, S S Liu.Changing Model design in highway safety based on human factors[J].The Journal of New Industrialization, 2014(12):12-19.

[8] 張婷, 張輝極.智能手機(jī)安全問(wèn)題及防護(hù)技術(shù)分析[J].技術(shù)研究, 2011(12):65-68.T Zhang,H J Zhang.Smartphone security and protection technology analysis[j].Research, 2011(12):65-68.

[9] 梁琛, 王忠民, 范琳.移動(dòng)搜索終端用戶行為調(diào)查研究[J].西安郵電大學(xué)學(xué)報(bào), 2014(2):108-112.C Liang, Z M Wang, L Fan.Investigation of mobile search end-user behavior[J].Xi'an University of Posts and Telecommunications, 2014(2):108-112.

[10] 沈佳偉, 羅濤, 黃麗娜.基于802.11p的車(chē)輛通信系統(tǒng)頻率同步研究與實(shí)現(xiàn)[J].新型工業(yè)化, 2014(10):31-37.J W Shen, T Luo, L N Huang.Synchronization and Implementation of the vehicle communication system frequency 802.11p[J].The Journal of New Industrialization, 2014(10):31-37.

[11] 朱文彩.基于智能手機(jī)的入侵檢測(cè)技術(shù)研究[D].北京:北京郵電大學(xué), 2013:18-33.W C Zhu.Intrusion Detection Based Smartphone[D].BeiJing:Beijing University of Posts and Telecommunications, 2013:18-33.[12] 賀炎, 楊爽, 王忠民.我國(guó)移動(dòng)搜索產(chǎn)業(yè)共贏合作模式探討[J].西安郵電大學(xué)學(xué)報(bào), 2013(6):95-99.Y He, S Yang, Z M Wang.China's mobile search industry to explore win-win cooperation model[J], Xi'an University of Posts and Telecommunications, Xi'an University of Posts and Telecommunications, 2013(6):95-99.

[13] 吳進(jìn), 尚驍, 張金煥.目標(biāo)定位監(jiān)護(hù)器中GSM模塊設(shè)計(jì)與實(shí)現(xiàn)[J].新型工業(yè)化, 2014(8):37-43.J Wu, X Shang, J H Zhang.Design and implementation of GSM module in targeting monitors[J].The Journal of New Industrialization, 2014(8):37-43.

[14] 曹承志.Android平臺(tái)權(quán)限提升技術(shù)研究與實(shí)現(xiàn)[D].南京:南京郵電大學(xué), 2014:16-25.C Z Cao.Android platform privilege elevation Research and Implementation[D].NanJing:Nanjing University of Posts and Telecommunications, 2014:16-25.

Android Terminal Common Security Issues and Workarounds Analysis

WU Jin, WANG Jie
(School of Electronic Engineering, Xi'an University of Posts and Telecommunications, Xi'an 710121, China)

With the continued increase in market share of Android system, Android terminals provide users with convenient, but also is experiencing growing security challenges and threats to users' safety.Although Android has already had a good security mechanism to ensure system security, but at a huge incentive commercial interests, many attackers for the system and software vulnerabilities in various ways to the Android user to expand the variety of forms of attack.This article is based on a survey research of mobile security vulnerabilities, gaving several vulnerabilities analysis, and the corresponding workarounds.

android system; terminal security; system vulnerabilities; workaround

楊吳進(jìn)，王潔．安卓終端常見(jiàn)安全問(wèn)題以及規(guī)避方法分析[J]．新型工業(yè)化，2015，5(5)：55-61

10.3969/j.issn.2095-6649.2015.05.08

:WU Jin, WANG Jie.Android terminal common security issues and workarounds Analysis [J].The Journal of New Industrialization, 2015, 5(5)∶ 55?61.

國(guó)家自然科學(xué)基金項(xiàng)目（61272120）。

吳進(jìn)（1975-），女，碩士，教授，碩士生導(dǎo)師，主要研究方向：信號(hào)與信息處理研究；王潔（1989-），女，碩士研究生，主要研究方向：電路與系統(tǒng)。