(分享)码农们不得不重视的问题
2015-06-08 10:22
239 查看
今年六月初,《2015年第一季度移动安全报告》出炉了,报告显示,安卓移动应用平台,16个行业TOP10应用共有4775个漏洞,平均每个应用有30个漏洞。4775个风险漏洞中,44%属高危漏洞、56%属中危漏洞,显示热门应用安全漏洞不乐观。其中金融、游戏、网购行业TOP10应用平均漏洞为34、15、34个。
由于开发者在开发的过程中可能出现的安全意识薄弱,亦或者是因为遗漏加密,导致自己辛辛苦苦开发的应用上线以后被重新编译、二次打包。更令人担心的是,在这些发布盗版应用的人中,有部分居心不良者存在,通过这些应用传播针对Android系统的木马病毒。
当木马被激活后,它会在后台偷偷收集大量信息,包括:地理位置坐标、设备识别码(IMEI)和用户识别码(IMSI),每隔5分钟就会尝试连接木马内嵌的几个远程服务器地址,连接成功后就会将收集到的信息发送出去。目前针对该木马的代码分析正在进行中,已知该木马具有下列功能:
·发送位置坐标
·发送设备识别码(IMEI和IMSI)
·下载并提示用户安装应用程序
·提示用户卸载应用程序
·收集已安装的应用列表并发送到远程服务器
大家可以看看这款apk文件(图1)出现的哪些漏洞:
对于APK的权限,大部分用户或许在安装apk已经有所注意,但是对于一些敏感的权限可能还不够关注。
这里我们主要介绍两种需要大家留意的权限:涉及隐私类、涉及系统安全类和涉及手机付费类
根据上面的权限,我们可以给手机apk文件做检测,测试出你手机apk文件健康指数。首先我们把手机应用的apk文件下载下来,上爱内测网站(www.detect.cn),进行文件上传与检测,下载检测报告后,报告里面会给你指出应用中出现了哪些漏洞需要修复。报告中其实很大的程度上告诉我们,所用的这个应用安全系数到底多大。
然而也请大家明白这样一点:并非有涉及此类“特别”的应用,我们就都不能安装了。
关键要确定这个应用本身有没有必要获取这个权限,这个应用的开发者是不是值得信任的。
我们始终相信玩Android手机的机友们都是手机用户中最聪明的,你们会很好的把握这个度。LBE本身也有禁用APK权限的功能,如果不放心来源不明的APK,可自己设置。
数据参考
图一数据出自爱内测(www.detect.cn)检测报告
由于开发者在开发的过程中可能出现的安全意识薄弱,亦或者是因为遗漏加密,导致自己辛辛苦苦开发的应用上线以后被重新编译、二次打包。更令人担心的是,在这些发布盗版应用的人中,有部分居心不良者存在,通过这些应用传播针对Android系统的木马病毒。
当木马被激活后,它会在后台偷偷收集大量信息,包括:地理位置坐标、设备识别码(IMEI)和用户识别码(IMSI),每隔5分钟就会尝试连接木马内嵌的几个远程服务器地址,连接成功后就会将收集到的信息发送出去。目前针对该木马的代码分析正在进行中,已知该木马具有下列功能:
·发送位置坐标
·发送设备识别码(IMEI和IMSI)
·下载并提示用户安装应用程序
·提示用户卸载应用程序
·收集已安装的应用列表并发送到远程服务器
大家可以看看这款apk文件(图1)出现的哪些漏洞:
对于APK的权限,大部分用户或许在安装apk已经有所注意,但是对于一些敏感的权限可能还不够关注。
这里我们主要介绍两种需要大家留意的权限:涉及隐私类、涉及系统安全类和涉及手机付费类
涉及隐私类 | ||
您的位置 | (基于网络的)粗略位置 | 隐私权限 |
您的位置 | 精准的(GPS)位置 | 隐私权限 |
系统工具 | 格式化外部存储设备 | 隐私权限 |
系统工具 | 装载和卸载文件系统 | 隐私权限 |
您的个人信息 | 读取联系人数据 | 隐私权限 |
您的信息 | 接收短信 | 隐私权限 |
您的个人信息 | 写入联系数据 | 隐私权限 |
存储 | 修改/删除 SD 卡中的内容 | 隐私权限 |
您的信息 | 编辑短信或彩信 | 隐私权限 |
涉及系统安全类 | ||
网络通信 | 完全的互联网访问权限 | 系统权限 |
涉及手机付费类 | ||
需要您付费的服务 | 直接拨打电话号码 | 付费 |
系统工具 | 更改网络连接性 | 付费 |
需要您付费的服务 | 发送短信 | 付费 |
根据上面的权限,我们可以给手机apk文件做检测,测试出你手机apk文件健康指数。首先我们把手机应用的apk文件下载下来,上爱内测网站(www.detect.cn),进行文件上传与检测,下载检测报告后,报告里面会给你指出应用中出现了哪些漏洞需要修复。报告中其实很大的程度上告诉我们,所用的这个应用安全系数到底多大。
然而也请大家明白这样一点:并非有涉及此类“特别”的应用,我们就都不能安装了。
关键要确定这个应用本身有没有必要获取这个权限,这个应用的开发者是不是值得信任的。
我们始终相信玩Android手机的机友们都是手机用户中最聪明的,你们会很好的把握这个度。LBE本身也有禁用APK权限的功能,如果不放心来源不明的APK,可自己设置。
数据参考
图一数据出自爱内测(www.detect.cn)检测报告
相关文章推荐
- 码农 黑客和2B程序员之间的区别
- 移动设备数据安全形势日趋严峻
- “记事本”的杀毒功能
- 问答:归档产品如何保障数据安全(上)
- iOS爆出新漏洞威胁用户数据安全
- 30岁,谁来衡量我们的价值
- 如何捍卫企业数据安全杜绝信息泄密
- BE2010 beserver.exe 启动挂起 runtime error
- 怎么让别人不拷走你电脑里的东西
- 数据集中存储,保护数据安全的图形工作站方案——HC12远程图形工作站
- NTA安全应用网关,文档保密最佳解决方案
- 容灾案例
- 数据库服务器选购五项
- AppCan 携手腾讯微博开放平台共推跨平台开发工具
- 谈谈怎么最快学好iOS开发(个人看法)
- 快码众包,您的另一个“技术合伙人”
- 企业APP如何才能在移动互联网平台展翅高飞
- 非对称密码
- 码农的一碗担担面