11、Android应用安全与设备测试全解析

Android应用安全与设备测试全解析

1. Android应用安全

在开发Android应用时，安全是至关重要的一环。以下是一些关键的安全要点：
- 第三方库的信任与验证 ：对待第三方库要像对待自己的代码一样谨慎。不能因为使用的是付费库就认为它是安全的。需要检查库是否请求了不必要的权限，比如是否在获取用户位置，是为了提升用户体验还是进行无关的数据收集。同时，要确保用户数据的存储和传输是安全的。可以使用安全策略执行器（Security Policy Enforcer，SPE）的jar文件来测试所有第三方库。
- 数据报告与日志记录 ：用户数据、信用卡号、登录信息等敏感数据不应记录在Android设备上。如果必须记录，应将其保存到服务器，并使用SSL安全传输数据。要报告应用的重复登录失败尝试、非Android设备使用Web服务的情况以及异常的信用卡活动，以便后续进行取证分析。分析包也有助于在应用发布后检测异常活动。

2. 安全示例：Call Center Manager应用

为了更好地说明安全实践，以Call Center Manager应用为例。该应用旨在帮助呼叫中心主管更高效地管理呼叫中心队列，具有用户登录、SQLite数据库保存用户设置以及与后端API通信等功能。该应用有三个版本，每个版本的安全性都有所提升。

3. 安全策略执行器（SPE）

为了尽可能自动化安全检测，创建了安全策略执行器（SPE）工具。它可以解压APK文件，并对classes.dex文件进行静态分析，查找十大安全问题。可以使用以下命令对每个APK运行SPE：