今年六月初,《2015年第一季度移动安全报告》出炉了,报告显示,安卓移动应用平台,16个行业TOP10应用共有4775个漏洞,平均每个应用有30个漏洞。4775个风险漏洞中,44%属高危漏洞、56%属中危漏洞,显示热门应用安全漏洞不乐观。其中金融、游戏、网购行业TOP10应用平均漏洞为34、15、34个。
由于开发者在开发的过程中可能出现的安全意识薄弱,亦或者是因为遗漏加密,导致自己辛辛苦苦开发的应用上线以后被重新编译、二次打包。更令人担心的是,在这些发布盗版应用的人中,有部分居心不良者存在,通过这些应用传播针对Android系统的木马病毒。
当木马被激活后,它会在后台偷偷收集大量信息,包括:地理位置坐标、设备识别码(IMEI)和用户识别码(IMSI),每隔5分钟就会尝试连接木马内嵌的几个远程服务器地址,连接成功后就会将收集到的信息发送出去。目前针对该木马的代码分析正在进行中,已知该木马具有下列功能:
·发送位置坐标
·发送设备识别码(IMEI和IMSI)
·下载并提示用户安装应用程序
·提示用户卸载应用程序
·收集已安装的应用列表并发送到远程服务器
大家可以看看这款apk文件(图1)出现的哪些漏洞:
对于APK的权限,大部分用户或许在安装apk已经有所注意,但是对于一些敏感的权限可能还不够关注。
这里我们主要介绍两种需要大家留意的权限:涉及隐私类、涉及系统安全类和涉及手机付费类
| 涉及隐私类 | ||
| 您的位置 | (基于网络的)粗略位置 | 隐私权限 |
| 您的位置 | 精准的(GPS)位置 | 隐私权限 |
| 系统工具 | 格式化外部存储设备 | 隐私权限 |
| 系统工具 | 装载和卸载文件系统 | 隐私权限 |
| 您的个人信息 | 读取联系人数据 | 隐私权限 |
| 您的信息 | 接收短信 | 隐私权限 |
| 您的个人信息 | 写入联系数据 | 隐私权限 |
| 存储 | 修改/删除 SD 卡中的内容 | 隐私权限 |
| 您的信息 | 编辑短信或彩信 | 隐私权限 |
| 涉及系统安全类 | ||
| 网络通信 | 完全的互联网访问权限 | 系统权限 |
| 涉及手机付费类 | ||
| 需要您付费的服务 | 直接拨打电话号码 | 付费 |
| 系统工具 | 更改网络连接性 | 付费 |
| 需要您付费的服务 | 发送短信 | 付费 |
根据上面的权限,我们可以给手机apk文件做检测,测试出你手机apk文件健康指数。首先我们把手机应用的apk文件下载下来,上爱内测网站(www.detect.cn),进行文件上传与检测,下载检测报告后,报告里面会给你指出应用中出现了哪些漏洞需要修复。报告中其实很大的程度上告诉我们,所用的这个应用安全系数到底多大。
然而也请大家明白这样一点:并非有涉及此类“特别”的应用,我们就都不能安装了。
关键要确定这个应用本身有没有必要获取这个权限,这个应用的开发者是不是值得信任的。
我们始终相信玩Android手机的机友们都是手机用户中最聪明的,你们会很好的把握这个度。LBE本身也有禁用APK权限的功能,如果不放心来源不明的APK,可自己设置。
数据参考
图一数据出自爱内测(www.detect.cn)检测报告
194
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
