（分享）码农们不得不重视的问题

今年六月初，《2015年第一季度移动安全报告》出炉了，报告显示，安卓移动应用平台，16个行业TOP10应用共有4775个漏洞，平均每个应用有30个漏洞。4775个风险漏洞中，44%属高危漏洞、56%属中危漏洞，显示热门应用安全漏洞不乐观。其中金融、游戏、网购行业TOP10应用平均漏洞为34、15、34个。

由于开发者在开发的过程中可能出现的安全意识薄弱，亦或者是因为遗漏加密，导致自己辛辛苦苦开发的应用上线以后被重新编译、二次打包。更令人担心的是，在这些发布盗版应用的人中，有部分居心不良者存在，通过这些应用传播针对Android系统的木马病毒。

当木马被激活后，它会在后台偷偷收集大量信息，包括：地理位置坐标、设备识别码（IMEI）和用户识别码（IMSI），每隔5分钟就会尝试连接木马内嵌的几个远程服务器地址，连接成功后就会将收集到的信息发送出去。目前针对该木马的代码分析正在进行中，已知该木马具有下列功能：

·发送位置坐标

·发送设备识别码（IMEI和IMSI）

·下载并提示用户安装应用程序

·提示用户卸载应用程序

·收集已安装的应用列表并发送到远程服务器

大家可以看看这款apk文件（图1）出现的哪些漏洞：





 

对于APK的权限，大部分用户或许在安装apk已经有所注意，但是对于一些敏感的权限可能还不够关注。

这里我们主要介绍两种需要大家留意的权限：涉及隐私类、涉及系统安全类和涉及手机付费类

涉及隐私类
您的位置	（基于网络的）粗略位置	隐私权限
您的位置	精准的(GPS)位置	隐私权限
系统工具	格式化外部存储设备	隐私权限
系统工具	装载和卸载文件系统	隐私权限
您的个人信息	读取联系人数据	隐私权限
您的信息	接收短信	隐私权限
您的个人信息	写入联系数据	隐私权限
存储	修改/删除 SD 卡中的内容	隐私权限
您的信息	编辑短信或彩信	隐私权限
涉及系统安全类
网络通信	完全的互联网访问权限	系统权限
涉及手机付费类
需要您付费的服务	直接拨打电话号码	付费
系统工具	更改网络连接性	付费
需要您付费的服务	发送短信	付费

 

根据上面的权限，我们可以给手机apk文件做检测，测试出你手机apk文件健康指数。首先我们把手机应用的apk文件下载下来，上爱内测网站（www.detect.cn），进行文件上传与检测，下载检测报告后，报告里面会给你指出应用中出现了哪些漏洞需要修复。报告中其实很大的程度上告诉我们，所用的这个应用安全系数到底多大。

 

然而也请大家明白这样一点：并非有涉及此类“特别”的应用，我们就都不能安装了。

关键要确定这个应用本身有没有必要获取这个权限，这个应用的开发者是不是值得信任的。

我们始终相信玩Android手机的机友们都是手机用户中最聪明的，你们会很好的把握这个度。LBE本身也有禁用APK权限的功能，如果不放心来源不明的APK，可自己设置。

 

数据参考                                             

图一数据出自爱内测（www.detect.cn）检测报告