阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
近期,按照网络安全审查工作安排,国家网信办会同公安部、国家安全部、自然资源部、 交通运输部、税务总局、市场监管总局等部门联合进驻某出行科技有限公司,开展网络安全 审查。移动App安全检测和个人数据安全再次成为关注焦点。
为保护Android系统及应用终端平台安全,Android系统在内核层、系统运行层、应用 框架层以及应用程序层采取了相应的安全措施,以尽可能地保护移动用户数据、应用程序和 设备安全。
在Android系统提供的安全措施中有安全沙箱、应用程序签名机制、权限声明机制、地 址空间布局随机化等。请将上述四种安全措施按照其所在层次划分填入表4-1的空(1)〜(4)。
(1) 权限声明机制
(2)应用程序签名机制
(3) 安全沙箱
(4)地址空间布局随机化
本题考查移动App安全和隐私保护的相关知识。
题目以某违规App事件作为切入点,从移动安卓体系架构、访问权限、四大组件安全和安全存储入手来构造问题。
权限声明机制就在App当中,应用程序签名机制则是属于应用框架层,安全沙箱在系统运行层,地址空间布局随机化是系统内核层实现的。
权限声明机制为操作权限和对象之间设定了一些限制,只有把权限和对象进行绑定,才 可以有权操作对象。
(1) 请问Android系统的应用程序权限信息声明都在哪个配置文件中?给出该配置文件名。
(2) Android 系统定义的权限组包括:CALENDAR、CAMERA、CONTACTS、LOCATION、 MICROPHONE、PHONE、SENSORS、SMS、STORAGE。按照《信息安全技术移动互联 网应用程序(App)收集个人信息基本规范》,运行在Android 9.0系统中提供网络约车服务 的某某出行App可以有的最小必要权限是以上权限组的哪几个?
(3) 假如有移动应用A提供了如下服务AService,对应的权限描述如下:
如果其他应用B要访问该服务,应该申明使用该服务,将以下申明语句补充完整。
(1) AndroidManifest.xml
(2) LOCATION、PHONE
(3) uses-permission
解开App文件,在 AndroidManifest.xml中可以看到运行App所需的权限。某出行属于网约车范畴,需要地理位置和打电话权限即可。
Android 的权限在AndroidManifest.xml文件里配置。其中有四个标签与权限有关,分别是permission, permission-group, permisson-tree, uses-permission,最常用的是uses-permission,当我们需要获取某个权限的时候,就需要在文件中声明。
应用程序框架层集中了很多Android开发需要的组件,其中最主要的就是Activities、 Broadcast Receiver、Services以及Content Providers这四大组件。围绕四大组件存在很多的攻 击方法,请说明以下三种攻击分别是针对哪个组件。
(1) 目录遍历攻击;
(2) 界面劫持攻击;
(3) 短信拦截攻击。
(1) 目录遍历攻击:Content Providers
(2) 界面劫持攻击:Activities
(3) 短信拦截攻击:Broadcast Receiver
Android系统中界面和Activities关联,因此界面劫持攻击属于Activities组件。Content Providers用来保存或获取数据,目录遍历攻击属于Content Providers。
Broadcast Receiver用于广播发送和接收消息,短信拦截攻击属于Broadcast Receiver。
移动终端设备常见的数据存储方式包括:
① SharedPreferences ;
② 文件存储;
③ SQLite数据库;
④ ContentProvider;
⑤网络存储。
从以上5种方式中选出Android系统支持的数据存储方式,给出对应存储方式的编号。
①②③④⑤
题干所述的5种方式全是Android支持的存储方式。