Android应用程序安全

图书标准信息

• 作者 Sheran Gunasekera 著；王文君、董欢欢 译
• 出版社 电子工业出版社
• 出版时间 2013-10
• 版次 1
• ISBN 9787121213830
• 定价 59.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 284页
• 字数 332千字
• 正文语种 简体中文
• 原版书名 Android Apps Security

【内容简介】

　　《Android应用程序安全》是一本系统讲解Android应用开发安全的书籍。它首先介绍了Android系统的架构
　　和安全机制，然后详细说明了Android应用中存在的安全风险，并提出如何实现相应的安全控制以保护用户的私密信息。同时，本书还深入讲解了数据加密、认证技术以及企业级安全等概念。通过本书的介绍，希望读者能够了解如何鉴别哪些是敏感数据、如何使用AndroidAPI保证数据的机密性和完整性、如何构建企业级安全的应用以及如何实现客户/服务端应用之间数据管理与传输的安全性等。
　　《Android应用程序安全》适用于Android应用开发人员、设计人员、测试人员、架构师、项目经理、安全咨询顾问等，是一本实用的讲解Android应用安全的教材和使用手册。

【作者简介】

SheranGunasekera，是一名拥有13年信息安全经验的安全研究人员和软件开发者。他是ZenConsultPte.公司的研发主管，负责个人计算机和移动设备平台的安全研究。Sheran一直积极致力于BlackBerry和移动Java的研究，并且是揭露首个企业认可的恶意应用内部工作原理的白皮书的作者，这些恶意软件被部署在阿联酋电信运营商签约用户的移动设备上。他曾在中东、欧洲和亚太地区的安全会议上发表演讲，提供有关针对移动设备的恶意软件分析，以及针对Web和移动设备的安全软件开发的培训。他还在其有关安全的博客上撰写并发表文章（http://chirashi.zenconsult.net）。

MichaelThomas，拥有超过20年的软件开发的经验，其间做过独立开发者、团队负责人、项目经理和工程副总裁。Michael拥有超过10年的移动设备相关的工作经验。他目前的工作重点是在医疗领域中通过使用移动设备加速患者和医疗服务提供者之间的信息传输。

王文君，现就职于惠普软件上海研发中心，担任多个产品的安全架构师和安全讲师。现为OWASP上海区负责人之一，作为演讲嘉宾参加过2011年OWASP亚洲峰会以及2012年OWASP中国峰会，并且是CWASP认证专家组成员，同时也是2013年出版的《Web应用安全威胁与防治——基于OWASPTop10与ESAPI》作者之一，拥有CISSP、PMP、ITIL等认证。王文君于2002年毕业于上海交通大学，拥有电气工程硕士学位和电气工程/涉外会计双学士学位。

董欢欢，毕业于上海复旦大学，拥有计算机信息技术管理学士学位。现就职于惠普软件上海研发中心，担任研发工程师。拥有7年的软件研发经验，在移动开发和设计方面有着丰富的经验。2009年至今，从事Android应用程序设计和开发，对Android有较深刻的理解，开发有AltiGenMaxMobileCommunicator、SkyDriveAssistant等Android应用。

【目录】

第1章　Android架构
1.1　Android架构的组件
1.1.1　内核
1.1.2　类库
1.1.3　Dalvik虚拟机
1.1.4　应用程序框架
1.1.5　应用程序
1.2　这本书是关于什么的
1.3　安全
1.3.1　保护用户
1.3.2　安全风险
1.4　Android安全架构
1.4.1　特权分离
1.4.2　权限
1.4.3　应用程序代码签名
1.5　总结
第2章　信息：应用的基础
2.1　保护你的应用免受攻击
2.1.1　间接攻击
2.1.2　直接攻击
2.2　项目1：“Proxim”和数据存储
2.3　信息分类
2.3.1　什么是个人信息
2.3.2　什么是敏感信息
2.4　代码分析
2.4.1　实施加密
2.4.2　加密结果
2.5　重构项目
2.6　练习
2.7　总结
第3章　Android安全架构
3.1　重温系统架构
3.2　理解权限架构
3.2.1　Content Provider
3.2.2　Intent
3.3　权限检查
3.3.1　使用自定义权限
3.3.2　保护级别
3.3.3　自定义权限的示例代码
3.4　总结
第4章　动手实践（第一部分）
4.1　Proxim应用
4.2　总结
第5章　数据存储和密码学
5.1　公钥基础设施（PKI）
5.2　密码学中用到的术语
5.3 手机应用中的密码学
5.3.1　对称加密算法
5.3.2　密钥生成
5.3.3　数据填充
5.3.4　分组密码的几种模式
5.4　Android系统中的数据存储
5.4.1　用户数据共享
5.4.2　内部存储
5.4.3　SQLite数据库
5.5　加密的数据存储
5.6　总结
第6章　对话Web应用
6.1　搭建环境
6.2　HTML、Web应用和Web服务
6.2.1 Web应用的组成
6.2.2　Web应用用到的技术
6.3 OWASP与Web攻击
6.4　认证技术
6.4.1　自签名证书
6.4.2　中间人攻击
6.4.3　OAuth
6.4.4　加密的挑战/应答
6.5　总结
第7章　企业级应用开发安全
7.1　安全的连接
7.2　企业应用程序
7.3　手机中间件
7.3.1 数据库访问
7.3.2 数据表示
7.4　总结
第8章　动手实践（第二部分）
8.1 OAuth
8.1.1 获得令牌
8.1.2 处理授权
8.2　挑战与应答
8.3　总结
第9章　发布和出售你的应用
9.1 开发人员注册
9.2 你的应用处在暴露中
9.2.1 可供下载的资源
9.2.2 逆向工程202
9.3 应该进行许可验证吗
9.4 Android许可验证库
9.4.1 下载Google API Add-On
9.4.2 复制LVL文件至单独目录
9.4.3 导入LVL源文件作为一个Library项目
9.4.4 在应用中构建和引入LVL
9.5 许可策略
9.6 有效利用LVL
9.7 模糊处理
9.8 总结
第10章　恶意软件和间谍软件
10.1 恶意软件的四个阶段
10.1.1 感染
10.1.2 破坏
10.1.3 传播
10.1.4 泄露
10.2 案例学习1：政府批准的恶意软件
10.2.1 感染
10.2.2 破坏
10.2.3 传播
10.2.4 泄露
10.2.5 检测
10.3 案例学习2： 零售恶意软件——FlexiSPY
10.4 反取证
10.5 总结
附录A　Android权限常量
附录B　如何使用Apache Wink创建RESTful Web Services