Android安全風險控制策略

　　沒有一個軟件系統是絕對安全的，總體而言，Android系統中的風險可概括為五大類。根據以下建議對每種風險做好防范工作。

　　第一類風險是濫用應用程序權限。關于這類風險有如下防范策略建議。

　　應用程序認證

　　認證是防范惡意程序的有效手段之一。在理想狀態下，一個應用程序在認證之前必須經過完整的測試與代碼審查，確認其權限使用的合理性，這自然對惡意軟件起到了有力的防范作用。但是，認證的費用高昂，程序復雜，并不具備廣泛的實用性。

　　選擇使用應用程序權限

　　如果能夠在安裝階段，確認某一應用程序僅使用必需的最小權限，也就是遵循最小權限原則，則受到惡意軟件攻擊的可能性必將大大降低!對于有經驗的用戶這也許是一種選擇，但對于廣大的普通用戶，恐怕沒人懂得如何驗證應用程序要求的權限是否合理，在多數情況下用戶會直接授予所要求的權限。因此需要開發者在申請或設定權限時，嚴格遵循最小權限原則。

　　自動靜態分析與代碼驗證

　　設計一種自動分析應用程序特性的工具，分析應用程序的功能以及不同應用程序之間的差別，以判斷其合法性。

　　第二類風險是攻擊Linux內核與系統庫函數的漏洞。目前，針對這種風險，采用更嚴格的訪問控制機制，第6章介紹的限制操作系統用戶權限的SEAndroid，是一種實際且有效的選擇。最危險的攻擊就是利用系統漏洞獲取根用戶或超級用戶權限，進而控制整個系統。SEAndroid恰好通過控制根用戶或超級用戶權限實現對安全性的增強，即使攻擊者獲取了根用戶權限，但可能的危害范圍不至于無限擴大。但是，某些系統命令由于正常使用的需要，可能無法完全禁用，攻擊者如果恰好獲得該類命令的使用權，則SEAndroid的功能就十分有限了。

　　第三類風險是破壞私有數據的可用性、數據隱私性以及完好性?？梢圆扇∫韵虏呗赃M行防范。

　　登錄

　　使用登錄用戶口令解鎖移動設備的某些功能，以防止安全威脅。這是一種常見的有效方式，尤其是用于保護隱私數據信息。但是，當設備遺失時，如果尚未使用口令解鎖設備，則保護作用存在;如果解鎖之后才遺失設備，則口令保護完全無效。

　　防火墻

　　防火墻可以保障用戶私有信息不會經由網絡連接被泄露。通常，對網絡連接傳輸的內容使用無狀態或有狀態的分析，可以發現是否有私密信息正被泄露，因此可以切斷傳輸線路。由于防火墻工作在操作系統內核中，因此無法直接為外部攻擊所侵害。同時防火墻可以與SEAndroid提供的訪問控制機制協同工作，提供更高級別的保護。但是，惡意軟件并非只能通過網絡接口泄露隱私信息。比如，通過短信/彩信的發送，防火墻就無作用了。

　　數據加密

　　數據加密是保護隱私數據的最佳手段。由于只有信息所有者才有密鑰，因此即使設備失竊，隱私信息的安全仍然得到保障。

　　上下文敏感的訪問控制(CAAC，ContextAwareAccessControl)

　　CAAC可以根據設備使用的內部與周邊環境決定訪問權限，比如設備使用的地點、所登錄的移動網絡、是否連接Wi-Fi等。但是，如果攻擊恰好發生在允許訪問的環境下，則此類方式無效。

　　遠程管理

　　從安全角度，遠程管理能力是必須嚴格限制使用的。但是，與防火墻、CAAC機制相結合，遠程管理實際可以提升安全性。例如，設備遺失后，可以通過遠程管理機制開啟防護機制，保護數據安全。即使在日常使用中，遠程管理也可能發現肆虐移動網絡的蠕蟲，通過啟動防火墻等機制限制蠕蟲的活動。但是，所有的遠程管理都需要在受॥

原文轉自：http://www.kuqin.com/shuoit/20140309/338475.html