目前看來阿里最大的對手是騰訊。引:http://wenku.baidu.com/view/4e9b9f17cc7931b765ce15ed.html
企鵝手上的四張牌:
第一張牌——開放牌
利用開放平臺的第三方應用提升用戶活躍度及使用的深度。
例如財付通開放平臺、soso開放平臺、微博開放平臺、Q+開放平臺、QQ空間開放平臺、QQ郵箱開放平臺等。
旗下產品應用和開放平臺互倒用戶和流量
第二張牌——安全牌(阿里在這方面投入還是有限)最好也搞個阿里手機管家,深度挖掘android安全,安全瀏覽器可以依賴投資的UC。
3Q大戰”,騰訊在安全上的短板,絕不能從電腦端的延續到手機上。
2011年7月,騰訊花費9億港元入股金山,成爲金山第一大股東,聯合對抗360,並投入大量資源推廣“手機管家”。
第三張牌——明星APP牌
手機購物支付難的問題正在被破解。4月20日,UC和支付寶簽訂戰略合資協議,宣佈推出國內首個手機支付解決方案。用戶在裝有UC瀏覽器的手機上購物點擊一次就能完成支付,只需10秒鐘。
需要Android安全研究和安全產品:
Android安全基礎建議讀者圍觀:http://blog.csdn.net/u011069813/article/details/9237631
簡單舉幾個例子,來源baidu 文庫
1、應用組件安全
Activity劫持
2、防敏感數據泄漏
3、防SQL注入
“SELECT * FROM table_name WHERE id = ‘“ + userId + “‘”
“SELECT * FROM table_name WHERE id = ‘“ + 1’ or id <>’ + “‘”
參數化查詢
Cursor rawQuery(String sql, String[] selectionArgs);
Cursor query(String table, String[] columns, String selection, String[]
selectionArgs, String groupBy, String having, String orderBy);
• 對輸入進行類型和格式檢查
4、網絡傳輸
https
• 重要數據, 業務層數據加密和簽名
5、Apk逆向破解風險
暴露關鍵代碼, 業務邏輯
• 注入惡意代碼後重新編譯, 打包, 簽名
Proguard
• 關鍵業務邏輯代碼c + jni
對so文件加殼 UPX
so對調用它的應用進行簽名校驗
6、Android安全開發規範
默認私有 (除對外公開的Activities)
android:exported=”false”
• 公開的Activities必須聲明權限標籤
<permission
android:name="權限名"
android:description="詳細描述"
android:label="簡介"
android:protectionLevel="signature" />
android:permission="權限名"
android:protectionLevel=”dangerous”
關鍵的廣播信息只能由公司私鑰簽名的應用接收
• 公開的廣播信息的接收必須聲明接收權限
void sendBroadcast(Intent intent, String receiverPermission);
可公開給第三方應用程序訪問, 可聲明爲dangerous, 只允許自己公司的應用
程序訪問指定signature.
• Provider
android:grantUriPermission=”false”
android:readPermission=”權限名”
android:writePermission=”權限名”
• 子Uri grant-uri-permission
android:path=”string”
android:pathPrefix=”string”
android:pathPattern=”string”
7、Tap hijacking
void setFilterTouchesWhenObscured (boolean enabled);
android:filterTouchesWhenObscured=”false”
這方面需要投入很大的資源跟蹤和研究Android的安全。也可以參考老王的內幕材料。
