1、android系統(tǒng)手機泄密 信息時代很嚴重 先從所有版本android系統(tǒng)的通病數(shù)起。
最讓用戶不恥的在于,近期美國《華爾街日報》聘用兩位安全分析師發(fā)現(xiàn),谷歌安卓系統(tǒng)手機和 蘋果iphone 手機會自動收集用戶的行蹤信息,并將這些私人信息返回給兩家公司。調(diào)查發(fā)現(xiàn),使用安卓系統(tǒng)的htc手機能每隔幾秒鐘自動手機用戶的姓名、位置、所在地附近的無線網(wǎng)絡(luò)信號強度及一個特殊電話識別碼,并每小時多次將這些信息發(fā)送給谷歌。
2、不支持關(guān)機鬧鈴 與用戶需求嚴重背離 然后是所有玩家?guī)缀跻呀?jīng)習以為常的事情,谷歌系統(tǒng)的一千遍一萬遍升級都與它無關(guān),它就是不支持關(guān)機鬧鈴。可以說現(xiàn)在很多的android系統(tǒng)手機玩家,都是從塞班系統(tǒng)“叛變”過來的,包括小編本人。
其中又有多少人曾經(jīng)喜歡晚上睡覺關(guān)機的玩家,因為android系統(tǒng)的這一缺點而大聲罵過街。 有會有人說了,iphone4和微軟系統(tǒng)也都不支持關(guān)機鬧鈴呀。
沒錯,但是塞班系統(tǒng)的手機支持,mtk芯片的手機支持、展訊芯片的手機,請問你還有什么理由不支持!如果這條理由還不足以讓你清醒,那么,我再告訴你同樣基于android系統(tǒng)開發(fā)的 聯(lián)想樂phone 就支持!聯(lián)想可以搞定的事情,你谷歌為什么搞不定!是實力不濟還是壓根就沒有真正考慮過用戶需求?3、撥號后自動掛斷電話 通話bug頻繁出現(xiàn) 手機的基本功能就是通訊工具,無論科技發(fā)展到多么隨心所欲的境界,這一點都是毋庸置疑的。但是android系統(tǒng)卻在最基本的通話功能上出了問題。
很多論壇里的網(wǎng)友都反應(yīng)的一件事情就是,android系統(tǒng)手機在撥號通話時經(jīng)常遇見這樣的郁悶情況。撥號以后,電話尚未接通會被系統(tǒng)自動掛斷。
而且,這絕不是某款android手機的問題,而是很多android系統(tǒng)手機的通病。4、對硬件配置要求高 制造成本增加 近期各種高頻處理器,各種高ram內(nèi)存的手機頻現(xiàn),為玩家奉獻了一場幾乎華麗的視覺大餐。
可以說谷歌android系統(tǒng)在其中做了推波助瀾的效果,原因很簡單,android系統(tǒng)的手機對硬件配置要求過高,廠商如果不推出高硬件標準的手機怎么在這個競爭激烈的時代立足呢?不過,我們可以換個角度考慮一下,這些高配置的手機價錢怎么樣?如果你不是富二代,你爹不是李剛的話,你肯定不會淡定的。 盡管谷歌方面一再聲稱,android系統(tǒng)對手機硬件沒有明確的配置要求,對廠商使用什么樣規(guī)格的硬件配置只是提出建議。
但是,如果廠商不接受建議,采用的低配置的硬件,將會是什么后果?顯然易見,這款手機一定會在競爭中被無情淘汰。我要舉例說明一下,android系統(tǒng)手機的cpu主頻已經(jīng)達到1.2ghz主頻,甚至雙核1.2ghz主頻的手機也開始出現(xiàn)了。
但是塞班系統(tǒng)至今沒有出現(xiàn)過一款cpu主頻能夠達到1ghz主頻的手機。難道塞班手機真的比android系統(tǒng)手機落后那么多?目前塞班系統(tǒng)很多的手機處理器都只有600mhz,系統(tǒng)ram內(nèi)存128mb,但是運行速度還是非常流暢的。
但是如果是一款android系統(tǒng)手機,配備了600mhz、128mb ram的硬件,運行速度有多慢,我想用過的人都是十分清楚兩者之間的差距的。就象這位網(wǎng)友在論壇里說的那樣,android系統(tǒng)手機的高配置、高硬件帶來的高成本最后都是轉(zhuǎn)嫁給消費者的。
5、系統(tǒng)偷跑流量 流量流失情況驚人 按照谷歌方面的描述,android系統(tǒng)最大的優(yōu)勢在于與互聯(lián)網(wǎng)貼合緊密,使用android系統(tǒng)手機可以盡享移動互聯(lián)網(wǎng)帶來的歡樂。但是,有沒有想過這種谷歌引以為豪的優(yōu)勢有一天會變成消費者眼中的大敵。
查看一下網(wǎng)上的記錄,有多少人抱怨android系統(tǒng)手機費流量,原來塞班時候30m玩一個月的時代已經(jīng)一去不復返了。 6、系統(tǒng)費電嚴重 安卓手機續(xù)航不足 應(yīng)用程序?qū)崟r更新產(chǎn)生不僅僅是白白跑掉的網(wǎng)絡(luò)流量,還在于這些更新活動也導致手機電量白白浪費掉。
在各種手機論壇中,我們見到最多的帖子就是抱怨某款手機的續(xù)航能力不足。如果是一款兩款手機如此,說明是手機本身的電源管理系統(tǒng)有缺陷,如果是絕大多數(shù)的安卓手機都這樣,我們只能把矛頭指向谷歌android系統(tǒng)本身。
7、死機現(xiàn)象頻現(xiàn) android系統(tǒng)普遍存在 android系統(tǒng)還有一個頻現(xiàn)的bug在于手機死機現(xiàn)象比較頻繁。而死機發(fā)生的環(huán)境也是多種多樣,有的是在運行某款程序時突然死機,有的是上網(wǎng)期間突然死機,有的甚至是在待機狀態(tài)下也會發(fā)生死機現(xiàn)象。
盡管用戶反應(yīng),死機現(xiàn)象發(fā)生的頻率不盡相同,但是幾乎所有的android手機用戶都遇到過死機現(xiàn)象。 由于android系統(tǒng)開放程度高,因此造成大量的手機廠商和軟件開放商涌入以圖得一杯美羹。
而由于google market的測試、審核機制又不是很完善,導致了很多并不很穩(wěn)定甚至會導致系統(tǒng)崩潰的軟件被發(fā)布出來。此外,由于系統(tǒng)過于開放,很多網(wǎng)友玩家自行制作了很多各種版本的rom,各種rom穩(wěn)定性,水平參差不齊也是手機死機的誘因之一。
此外,對于很多新入手智能手機的玩家來說,各種rom也導致android系統(tǒng)版本眼花繚亂,使得他們顯然無法駕馭得了。8、系統(tǒng)“智商不高” 計算器不會計算 近日,在各大手機論壇和android社區(qū)都會發(fā)現(xiàn)一個令人匪夷所思的帖子,不少網(wǎng)友都紛紛表示android系統(tǒng)自帶的計算器爆出低級錯誤,android手機內(nèi)置的計算器。
據(jù)悉,此次在安卓系統(tǒng)上發(fā)現(xiàn)的這些漏洞為一種被稱為“Pileup”的新型漏洞,“Pileup”為“通過升級而導致權(quán)限提升”的縮寫。由于這些“Pileup”型漏洞存在,一旦安卓系統(tǒng)進行升級,將導致惡意代碼應(yīng)用的訪問權(quán)限升級,而用戶對此卻毫不知情。
研究人員寫道,“每隔幾個月時間,谷歌都要發(fā)布安卓系統(tǒng)的更新,這將導致激活系統(tǒng)內(nèi)添加數(shù)萬個新文件,或者一些文件被更換。而每款新應(yīng)用在安裝時都需要在自己的沙箱和系統(tǒng)特權(quán)內(nèi)進行嚴格配置,從而不會對現(xiàn)有應(yīng)用和用戶數(shù)據(jù)構(gòu)成破壞。這一復雜的移動更新邏輯程序,使得安卓系統(tǒng)存在了安全缺陷。”
研究人員聲稱,他們已經(jīng)在AndroidPackage管理服務(wù)(PMS)上發(fā)現(xiàn)了六種不同的Pileup漏洞,并證實,這些漏洞存在于所有的Android開源項目版本,影響到了來自不同制造商和運營商的3500多款定制版本的安卓手機。研究人員聲稱,這意味著全球有超過十億部安卓設(shè)備面臨Pileup漏洞攻擊危險。 據(jù)悉,安全研究人員已向谷歌公司通報了所有這些安全漏洞,而且谷歌已完成其中一處漏洞的修復。
今天在cnbeta看到了一則新聞,國外研究機構(gòu)在安卓系統(tǒng)中發(fā)現(xiàn)了短信詐騙漏洞,這個漏洞涵蓋了當下的所有安卓系統(tǒng),從1。
6到4。1無一幸免,安卓系統(tǒng)的安全性一直就飽受外界的詬病,但是如此大規(guī)模的被爆出安全漏洞還是首次,并且這些研究者還說,黑客們利用這些漏洞能夠輕松的從機油的手機中包括各種賬號密碼在內(nèi)的所有隱私信息,稍后我會貼出新聞鏈接,感興趣的機油可以去研究一下。
雖然新聞中提到的漏洞對咱們這些普通機油來說顯得有點專業(yè),但可以肯定的是,只要咱們意識到這個漏洞的存在并采取相應(yīng)的行動,是完全可以避免這些漏洞被黑客利用的,引用一下研究者的話“警惕一切收到的文本信息”,防止一些惡意軟件會利用短信詐騙漏洞來造成收到短信的假象,甚至是偽造咱們手機通訊錄聯(lián)系人給咱們發(fā)短信的假象。 令人感到欣慰的是這些研究者正在跟google方面積極的聯(lián)系,希望他們的建議能夠引起google官方的重視,并且能夠及早的給咱們這些機油發(fā)送相關(guān)補丁。
不過從google的行事作風來看,要是等著官方的補丁估計連黃花菜都涼了,所以在官方補丁發(fā)出之前,我想咱們應(yīng)該聽從一下研究者的話,為手機安裝一款殺毒軟件,對含有惡意插件的應(yīng)用軟件進行強制清理和卸載,暫時讓殺毒軟件來擔當填補系統(tǒng)漏洞的責任,從本人的玩機經(jīng)驗來看,當前的手機殺軟中能夠當此重任的手機殺軟只有網(wǎng)秦安全,因為他全面的功能足以照顧到手機安全的各個方面,特別是惡意鏈接過濾和智能防騷擾系統(tǒng)的配合使用,可以攔截任何垃圾短信和帶有惡意鏈接的短信,并且網(wǎng)秦安全對含有惡意插件和惡意代碼的應(yīng)用軟件進行深度的識別和清除,避免有軟件會利用安卓系統(tǒng)的短信漏洞來興風作浪。
首先,題主詢問“Android 應(yīng)用”的安全漏洞,說到 Android 應(yīng)用的安全漏洞,如果拋開系統(tǒng)設(shè)計問題,其主要原因是開發(fā)過程當中疏漏引起的。但其實也并不能把這些責任都怪在程序猿頭上。所以本答案也將會對 Android 系統(tǒng)設(shè)計以及生態(tài)環(huán)境做一些闡述。(如果想了解 Android 惡意軟件的情況,那就需要另開題目了。)
1. 應(yīng)用反編譯
漏洞:APK 包非常容易被反編譯成可讀文件,稍加修改就能重新打包成新的 APK。
利用:軟件破解,內(nèi)購破解,軟件邏輯修改,插入惡意代碼,替換廣告商 ID。
建議:使用 ProGuard 等工具混淆代碼,重要邏輯用 NDK 實現(xiàn)。
例子:反編譯重打包 FlappyBird,把廣告商 ID 換了,游戲改加插一段惡意代碼等等。
2. 數(shù)據(jù)的存儲與傳輸
漏洞:外部存儲(SD 卡)上的文件沒有權(quán)限管理,所有應(yīng)用都可讀可寫。開發(fā)者把敏感信息明文存在 SD 卡上,或者動態(tài)加載的 payload 放在 SD 卡上。
利用:竊取敏感信息,篡改配置文件,修改 payload 邏輯并重打包。
建議:不要把敏感信息放在外部存儲上面;在動態(tài)加載外部資源的時候驗證文件完整性。
漏洞:使用全局可讀寫(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的內(nèi)部存儲方式,或明文存儲敏感信息(用戶賬號密碼等)。
利用:全局讀寫敏感信息,或 root 后讀取明文信息。
建議:不適用全局可讀寫的內(nèi)部存儲方式,不明文存儲用戶賬號密碼。
3. 密碼泄露
漏洞:密碼明文存儲,傳輸。
利用:
root 后可讀寫內(nèi)部存儲。
SD 卡全局可讀寫。
公共 WiFi 抓包獲取賬號密碼。
建議:實用成熟的加密方案。不要把密碼明文存儲在 SD 卡上。
4. 組件暴露 (Activity, Service, Broadcast Receiver, Content Provider)
漏洞:
組件在被調(diào)用時未做驗證。
在調(diào)用其他組件時未做驗證。
利用:
調(diào)用暴露的組件,達到某種效果,獲取某些信息,構(gòu)造某些數(shù)據(jù)。(比如:調(diào)用暴露的組件發(fā)短信、微博等)。
監(jiān)聽暴露組件,讀取數(shù)據(jù)。
建議:驗證輸入信息、驗證組件調(diào)用等。android:exported 設(shè)置為 false。使用 android:protectionLevel="signature" 驗證調(diào)用來源。
5. WebView
漏洞:
惡意 App 可以注入 JavaScript 代碼進入 WebView 中的網(wǎng)頁,網(wǎng)頁未作驗證。
惡意網(wǎng)頁可以執(zhí)行 JavaScript 反過來調(diào)用 App 中注冊過的方法,或者使用資源。
利用:
惡意程序嵌入 Web App,然后竊取用戶信息。
惡意網(wǎng)頁遠程調(diào)用 App 代碼。更有甚者,通過 Java Reflection 調(diào)用 Runtime 執(zhí)行任意代碼。
建議:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用時對輸入進行驗證。
6. 其他漏洞
ROOT 后的手機可以修改 App 的內(nèi)購,或者安裝外掛 App 等。
Logcat 泄露用戶敏感信息。
惡意的廣告包。
利用 next Intent。
7. 總結(jié)
Android 應(yīng)用的漏洞大部分都是因為開發(fā)人員沒有對輸入信息做驗證造成的,另外因為 Intent 這種特殊的機制,需要過濾外部的各種惡意行為。再加上 Android 應(yīng)用市場混亂,開發(fā)人員水平參差不齊。所以現(xiàn)在 Android 應(yīng)用的漏洞,惡意軟件,釣魚等還在不斷增多。再加上 root 對于 App 沙箱的破壞,Android 升級的限制。國內(nèi)的 Android 環(huán)境一片混亂,慘不忍睹。所以,如果想要保證你的應(yīng)用沒有安全漏洞,就要記住:永遠不要相信外面的世界。
聲明:本網(wǎng)站尊重并保護知識產(chǎn)權(quán),根據(jù)《信息網(wǎng)絡(luò)傳播權(quán)保護條例》,如果我們轉(zhuǎn)載的作品侵犯了您的權(quán)利,請在一個月內(nèi)通知我們,我們會及時刪除。
蜀ICP備2020033479號-4 Copyright ? 2016 學習鳥. 頁面生成時間:2.766秒