今年 5 月,谷歌在 I/O 大会上宣布,Kotlin 编程语言成为其 Android 应用程序开发人员的首选语言。

Kotlin 是一种面向现代多平台应用程序的编程语言,成为谷歌开发 Android 应用程序的首选语言后,许多开发人员逐渐地从 Java 转向 Kotlin。根据最新的一项调查显示,有 62% 的开发人员使用 Kotlin 来构建移动应用程序,另有 41% 的开发人员使用 Kotlin 来构建 Web 后端项目。

而随着 Kotlin 的出现,越来越多的知名组织愈加重视移动应用程序的安全性。最近由 DHS 与 NIST 联合的一项关于移动设备安全研究发现,应用程序中的漏洞通常是没有遵循安全编码引起,这些漏洞会对用户的数据造成某种危害。

对于使用 Kotlin 开发人员来说,熟悉这门语言并了解移动应用程序的安全编码是非常重要的。以下是在使用 Kotlin 时遇到的一些常见漏洞:  不安全数据存储  Android 生态系统为应用程序提供了几种存储数据的方法。开发人员使用的存储类型取决于几点:存储的数据类型、数据的使用以及数据是否应该保持私有或与其他应用程序共享。  而常见的编码错误是以明文存储敏感信息。例如,经常在应用程序使用的 “Shared Preference” 或数据库查找 API 密码、密码和 PII(Personally Identifiable Information),由于攻击者能够访问应用程序的数据库(根设备、应用程序的备份等),从而检索使用该应用的其他用户的凭据,这类疏忽越来越多地导致重要数据丢失。

不安全通信  目前,大多数移动应用程序在某种程度上以 client-server 的方式交换数据,当进行通信时,用户数据就会在移动运营商网络、或者某些 WiFi 网络和互联网之间进行传输。正是这个过程,攻击者就能利用其中的某个弱环节发起攻击。如果数据传输没有使用 SSL/TLS 加密,则攻击者不仅能够监视以明文传输的通信数据,而且还能够窃取交换的数据并执行中间人攻击。  为了防止不安全的通信,必须始终把网络层认为是不安全的,并不断确保移动程序和后端服务器之间的所有通信都是加密的。

不安全认证

移动设备中的输入机制,例如 4-PIN 码或者基于 TouchID 等特性的身份验证,都会导致移动应用程序的身份验证不安全且容易遭受攻击。  除非有功能需求,否则移动应用程序不需要对其进行实时身份验证的后端服务器。即使存在这样的后端服务器,用户通常也不需要在任何时候都处于联机状态。这给移动应用的身份验证带来了巨大的挑战,每当在本机进行身份验证时,就可以通过运行时操作或修改二进制文件来绕过已越狱设备上的身份验证。  不安全的身份验证不仅仅是猜出密码、默认用户帐户或破坏数据。有时,可以绕过身份验证机制,系统无法识别用户并记录其(恶意)行为。

代码篡改

所谓的代码篡改指的是:在设备上下载一个应用程序后,该应用的代码和数据是存于该设备的。由于大多数应用程序是公共的,这导致攻击可以进行修改代码、操作内存内容、更改或替换系统 API 或者修改应用程序的数据和资源。  为了防止代码篡改,重要的是移动应用程序能够在运行时检测到代码已被添加或更改。开发团队应该做出相应的行动,向服务器报告代码冲突或者执行关机。

魔高一尺,道高一丈。技术总是不断发展,未来仍会暴露出新的应用程序安全性漏洞,通过警惕一些编码错误,开发人员可以构建更安全的 Android 应用,避免掉入陷阱。  利用技术总是在不断发展;未来可能会基于可能暴露新的应用程序篡改点的依赖关系发现新的漏洞。通过了解这些编码错误,开发人员可以构建更安全的 Android 应用程序,并躲开可能导致这些情况的陷阱。

Kotlin 编程语言成为其 Android 应用程序开发人员的首选语言的更多相关文章

  1. 关于怎么快速学好Android应用程序开发及其其他编程语言(大牛和高手勿喷,此篇文章也适合刚入门小师弟和小师妹)

    无论你是从.NET转过来的也好 还是从PHP转过来的等等等,能看到这篇文章的人一般都是想快速转行到Android应用程序开发,希望我的这篇文章能勉励到各位的同时,也能勉励我自己. 1.编程语言基本都会 ...

  2. 【文章内容来自《Android 应用程序开发权威指南》(第四版)】如何设计兼容的用户界面的一些建议(有删改)

    最近一直在看的一本书是<Android 应用程序开发权威指南>(第四版),十分推荐.书中讲到了一些用户界面设计的规范,对于初学者我认为十分有必要,在这里码给大家,希望对我们都有用. 在我们 ...

  3. Android应用程序开发之图片操作(一)——Bitmap,surfaceview,imageview,Canvas

    Android应用程序开发之图片操作(一)——Bitmap,surfaceview,imageview,Canvas   1,Bitmap对象的获取 首先说一下Bitmap,Bitmap是Androi ...

  4. Android 当打开“开发人员模式”中的“不保留活动”后,程序应当怎么保持正常执行

    Android 当打开"开发人员模式"中的"不保留活动"后,程序应当怎么保持正常执行咧. .? 在这几天,我一直在纠结这个问题.从发现,程序出现这个问题,是由于 ...

  5. Android应用程序开发之图片操作(二)——工程图片资源的加载及OOM的处理

    (一)工程图片资源的加载方法 在Android应用程序开发之图片操作(一)中,详细说明了如何操作各种资源图片,只是有的没有附上示例代码,在此,我将针对项目工程中的图片资源的显示加载进行说明.官方说明, ...

  6. 提供给Android和iOS开发人员的UWP移植向导

    (此文章同时发表在本人微信公众号"dotNET每日精华文章",欢迎右边二维码来关注.) 题记:前几天微软发布了一个针对Android和iOS开发人员理解Windows Apps概念 ...

  7. Facebook再现丑闻,约100位应用程序开发人员偷看用户数据

    Facebook今天披露了另一起安全事件,承认大约100名应用程序开发人员可能不正确地访问了某些Facebook组中的用户数据,包括他们的姓名和个人资料图片. 在周二发布的博客文章中,Facebook ...

  8. 【Android 应用程序开发】 Fragment 详细说明

    笔者 : 汉书亮 转载请著名出处 : http://blog.csdn.net/shulianghan/article/details/38064191 本博客代码地址 : -- 单一 Fragmen ...

  9. Android应用程序开发疑问

    为什么android.util.log会提供五种不同级别的打印输出方式?(打印输出在Logcat窗口)比如:Log.v()用于打印比较琐碎的信息:Log.d()用于打印调试信息:Log.i()用于打印 ...

随机推荐

  1. 【数据结构】之散列链表(Java语言描述)

    散列链表,在JDK中的API实现是 HashMap 类. 为什么HashMap被称为“散列链表”?这与HashMap的内部存储结构有关.下面将根据源码进行分析. 首先要说的是,HashMap中维护着的 ...

  2. 应该如何刷 LeetCode?

    LeetCode 做笔记 对于遇到的每个题目,事后都做上标记:普通题目,难题.好题.此外,每个题目都分为以下几个步骤做好详细的笔记: 1. 原题目 2. 自己的第一遍解法 3. 网上好的解法 4. 自 ...

  3. 机器学习实战书-第二章K-近邻算法笔记

    本章介绍第一个机器学习算法:A-近邻算法,它非常有效而且易于掌握.首先,我们将探讨女-近邻算法的基本理论,以及如何使用距离测量的方法分类物品:其次我们将使用?7««^从文本文件中导人并解析数据: 再次 ...

  4. sina中的附件图片处理

    这样写就会频繁的创建和销毁对象 因为setPhotos这个方法调用频繁 如果在里面直接用for循环创建9个UIImageView如果因为cell重用 比如在上一个cell中本来就有UIImageVie ...

  5. 爬虫新宠requests_html 带你甄别2019虚假大学 #华为云·寻找黑马程序员#

    python模块学习建议 学习python模块,给大家个我自己不专业的建议: 养成习惯,遇到一个模块,先去github上看看开发者们关于它的说明,而不是直接百度看别人写了什么东西.也许后者可以让你很快 ...

  6. 在Tinymce编辑器里,集成数学公式

    在以前,需要在Web页面显示数学公式,常用的都是先制作成图片,然后插入到页面里.这使得后期对数学公式的修改变的麻烦,同时也不利于搜索引擎搜索. 本文将介绍如何在TinyMce编辑器里集成数学公式.先看 ...

  7. python中for循环删除不全的问题

    以前遇到过一次,删除列表中符合条件的元素,for循环挨个判断是否符合条件,符合就删除,删完结果发现有一个符合条件的没有删掉. 那么如果想删除某些列表中的元素,比如有一个a列表,a=[11,22,33, ...

  8. luogu P2640 神秘磁石

    题目描述 1.若给他一个一维坐标系,那么他的磁力一定要在素数坐标的位置上才能发挥的最大(不管位置坐标的大小,只要是素数那么磁力就一样大) 2.若两个磁石相距为k,那么磁石间的破坏力将会达到当前磁力的峰 ...

  9. 在 Xcode9 中自定义文件头部注释和其他文本宏

    在 Xcode9 中自定义文件头部注释和其他文本宏 . 参考链接 注意生成的plist文件的名称为IDETemplateMacros.plist 在plist文件里设置自己想要的模板 注意plist存 ...

  10. vmware虚拟机扩大硬盘

    记录一下对vmware虚拟机扩大硬盘的过程.操作有风险,重要数据请先进行备份. 1.首先在vcenter中将虚拟机下电,然后编辑虚拟机,将虚拟机硬盘扩大.具体操作见下图 2.打开虚拟机电源,利用fdi ...