欢迎新同学的光临
… …
人若无名,便可专心练剑
我不是一条咸鱼,而是一条死鱼啊!
敏感信息泄露的途径不单单只有IPC、logcat日志、数据存储等途径以外,还有许多途径,比如APK应用程序中嵌入的第三方服务如果自己暗黑一点的话,恶意使用GPS定位服务、监视用户行、APK内增加涉黑广告、收集用户的隐私信息等,但这往往不容易被发现。通常敏感信息泄露给第三方的方式(包括但不限于此)如下:
如开头,我们说的那样这些第三方服务功能虽然带来的便捷,但我们却不一定能知道第三方库执行的代码是什么样子的,要不然可能导致APK恶意应用程序使用GPS定位服务、监视用户行、APK内增加涉黑广告、收集用户的隐私信息等危险操作。所以,非必要的信息,开发人员应该尽量避免使用第三方服务来发送敏感信息
大多数第三方服务是以如下两种方式实现:
通过检查APK应用程序的第三库提供的 API 调用和第三方库函数或 SDK 的源代码。检查代码、检查加载的库,来确定它们是否必要,以及它们是否过时或包含已知的漏洞【比如检测第三库是否存在漏洞的