码农们不得不重视的问题
?
摘要???隨著Android手機日益深入人們的生活,手機應用也出現了百花齊放的局面。無論是生活應用還是金融支付或是游戲類,都已經駐扎進我們的手機了。但是,我們的應用安全嗎?
今年六月初,《2015年第一季度移動安全報告》出爐了,報告顯示,安卓移動應用平臺,16個行業TOP10應用共有4775個漏洞,平均每個應用有30個漏洞。4775個風險漏洞中,44%屬高危漏洞、56%屬中危漏洞,顯示熱門應用安全漏洞不樂觀。其中金融、游戲、網購行業TOP10應用平均漏洞為34、15、34個。
由于開發者在開發的過程中可能出現的安全意識薄弱,亦或者是因為遺漏加密,導致自己辛辛苦苦開發的應用上線以后被重新編譯、二次打包。更令人擔心的是,在這些發布盜版應用的人中,有部分居心不良者存在,通過這些應用傳播針對Android系統的木馬病毒。
當木馬被激活后,它會在后臺偷偷收集大量信息,包括:地理位置坐標、設備識別碼(IMEI)和用戶識別碼(IMSI),每隔5分鐘就會嘗試連接木馬內嵌的幾個遠程服務器地址,連接成功后就會將收集到的信息發送出去。目前針對該木馬的代碼分析正在進行中,已知該木馬具有下列功能:
·發送位置坐標
·發送設備識別碼(IMEI和IMSI)
·下載并提示用戶安裝應用程序
·提示用戶卸載應用程序
·收集已安裝的應用列表并發送到遠程服務器
大家可以看看這款apk文件(圖1)出現的哪些漏洞:
?
?
對于APK的權限,大部分用戶或許在安裝apk已經有所注意,但是對于一些敏感的權限可能還不夠關注。
這里我們主要介紹兩種需要大家留意的權限:涉及隱私類、涉及系統安全類和涉及手機付費類
| 涉及隱私類 | ||
| 您的位置 | (基于網絡的)粗略位置 | 隱私權限 |
| 您的位置 | 精準的(GPS)位置 | 隱私權限 |
| 系統工具 | 格式化外部存儲設備 | 隱私權限 |
| 系統工具 | 裝載和卸載文件系統? | 隱私權限 |
| 您的個人信息 | 讀取聯系人數據 | 隱私權限 |
| 您的信息 | 接收短信 | 隱私權限 |
| 您的個人信息????????????????????????? | 寫入聯系數據 | 隱私權限 |
| 存儲????????????????????? | 修改/刪除?SD?卡中的內容 | 隱私權限 |
| 您的信息???????????????????????????? | 編輯短信或彩信 | 隱私權限 |
| 涉及系統安全類 | ||
| 網絡通信???????????????????? | 完全的互聯網訪問權限 | 系統權限 |
| 涉及手機付費類 | ||
| 需要您付費的服務???????????????? | 直接撥打電話號碼 | 付費 |
| 系統工具??????????????????????????????? | 更改網絡連接性 | 付費 |
| 需要您付費的服務??????????????????????????? | 發送短信 | 付費 |
?
根據上面的權限,我們可以給手機apk文件做檢測,測試出你手機apk文件健康指數。首先我們把手機應用的apk文件下載下來,上愛內測網站,進行文件上傳與檢測,下載檢測報告后,報告里面會給你指出應用中出現了哪些漏洞需要修復。報告中其實很大的程度上告訴我們,所用的這個應用安全系數到底多大。
?
然而也請大家明白這樣一點:并非有涉及此類“特別”的應用,我們就都不能安裝了。
關鍵要確定這個應用本身有沒有必要獲取這個權限,這個應用的開發者是不是值得信任的。
我們始終相信玩Android手機的機友們都是手機用戶中最聰明的,你們會很好的把握這個度。LBE本身也有禁用APK權限的功能,如果不放心來源不明的APK,可自己設置。
?
數據參考?????????????????????????????????????????????
圖一數據出自愛內測(***)檢測報告
?
轉載于:https://www.cnblogs.com/houhaizi/p/4560467.html
總結
以上是生活随笔為你收集整理的码农们不得不重视的问题的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: position
- 下一篇: java代码打包成jar以及转换为exe