安卓、开源、安全
Android的出货量已经超过IOS,对手机,我还只是门外汉,更别说手机上的安全了,开始学习。今天翻看了一些Android上的安全、逆向相关的项目,把链接记录下来,有兴趣的朋友可以参考:
TaintDroid:安卓上的实时隐私监控
DroidBox:安卓APP动态分析
apktool:安卓APP逆向分析
Androguard:安卓APP逆向分析
asef:分析APP的模拟器
cellrox:沙盒,商用开源
抛几个问题:
1、吸费、木马、隐私侵犯、自动加载是否用户感知度最高的问题,还有其它更刺激用户的吗?
2、Root过安全,还是不Root安全?或者Root与否根本就与安全无关?
3、目前各种手机卫士、管家,解决了哪些根本问题?
4、Google收购virus total后内置的木马监控,会在多大程度上改善Android的系统安全性?
5、手机上的系统几乎不升级,各种ROM千奇百怪,如果上面跑支付,会有哪些变数?
6、未来手机支付会花落谁家?支付宝?微信?移动?银联?银行?拉卡拉?他们会怎么看待安全?
作为“防泄密每日一贴”中的一篇,似乎应该沾点防泄密的边,加两个信息吧。
1、手机应用安全评估模型,转自微博:
手机应用评估模型
2、我在2011年9月写的《手机怎么防泄密?》
一、手机可能泄什么密?
假设你的智能手机能任人随意使用,你会担心什么?
手机遗失后数据被他人利用
手机存储卡内数据:主要可能是照片、录像等;
手机存储里已有数据:如短信、邮件、照片、文档、录音、通讯录、聊天记录等;
手机储存的各种帐号:可能包括邮件、日程表、企业VPN、股票投资、常用网站帐号。
自己使用手机的信息被他人利用
手机被监控:使用手机里通话及短信被实里监听/收取;
手机的定位数据:智能手机中的GPS功能,大量软件会采集用户实时定位数据,储存并上传;
手机变窃听器:装个软件就能窃听。另外,传说中的技术是——无论开机或关机,都能用于远程窃听。
至于手机的其它“安全问题”,比如:恶意扣费、手机通讯录欺诈等,和泄密无关,先不谈。
二、普通人怎么防手机泄密?
首先,如果是国家机器,运营商级别的直接监控,那——就认了吧。我估计你卡、号、机——连名字全换都跑不掉。
那么正常情况下,怎样尽量做到手机防泄密?我简单列一列:
1、考虑用价格很低,功能很少的非智能手机,功能有限,用途也有限,里面存储的数据自然少——在当下,这不太现实;
2、一定要设置复杂的解锁密码——这样一来,除非手机行业从业人员,一般人不容易直接得到信息;
3、定位功能,只有需要定位时才开。任何程序要索取你的定位信息时,点“允许”前要三思;
4、装软件之前,确定这些软件的来源可靠;
5、手机上的软件,能不保存密码,尽量不保存密码——这也有点难,毕竟手机的输入比较麻烦;
6、如果你的手机有存储卡,那最好开启加密功能。如果没有加密功能,那最好不要用手机拍艳照或H视频;
7、在“越狱”、“刷机”、“拿ROOT”前,确认这些数据源可靠,确认自己需要这么做和知道之后如何保障安全;
8、在通过软件将手机数据备份到电脑上后,记得保护好电脑上的数据文件;
9、手机上网,连接公共场所WIFI/网络时,不要访问重要的“私人网站”或输入密码;
10、各种软件要你上传通讯录等信息时,请先确认自己信任这个厂商;
11、开重要会议时,建议将手机集中放到远离谈话区域的地方。
三、还有什么要说的吗?
对各种各样的“山寨机”,如果你确认这机器是“随机”流转到你手里的,那除了可能有扣费陷阱外,不会有“特种木马”;
对各种各样的“定制机”,能刷机的,建议刷成原生系统,如果不能刷——那反正我是不会用来做重要事情……
可以注意观察手机的耗电、发热情况——如果某个软件一直在监控着你,那它消耗的能量也小不了,你会发现你的手机电池比别人的明显耗得快。
744
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
