安卓漏洞(安卓系統(tǒng)漏洞是什么)
1.安卓系統(tǒng)漏洞是什么
1、android系統(tǒng)手機(jī)泄密 信息時(shí)代很嚴(yán)重 先從所有版本android系統(tǒng)的通病數(shù)起。
最讓用戶不恥的在于,近期美國(guó)《華爾街日?qǐng)?bào)》聘用兩位安全分析師發(fā)現(xiàn),谷歌安卓系統(tǒng)手機(jī)和 蘋果iphone 手機(jī)會(huì)自動(dòng)收集用戶的行蹤信息,并將這些私人信息返回給兩家公司。調(diào)查發(fā)現(xiàn),使用安卓系統(tǒng)的htc手機(jī)能每隔幾秒鐘自動(dòng)手機(jī)用戶的姓名、位置、所在地附近的無(wú)線網(wǎng)絡(luò)信號(hào)強(qiáng)度及一個(gè)特殊電話識(shí)別碼,并每小時(shí)多次將這些信息發(fā)送給谷歌。
2、不支持關(guān)機(jī)鬧鈴 與用戶需求嚴(yán)重背離 然后是所有玩家?guī)缀跻呀?jīng)習(xí)以為常的事情,谷歌系統(tǒng)的一千遍一萬(wàn)遍升級(jí)都與它無(wú)關(guān),它就是不支持關(guān)機(jī)鬧鈴。可以說(shuō)現(xiàn)在很多的android系統(tǒng)手機(jī)玩家,都是從塞班系統(tǒng)“叛變”過(guò)來(lái)的,包括小編本人。
其中又有多少人曾經(jīng)喜歡晚上睡覺(jué)關(guān)機(jī)的玩家,因?yàn)閍ndroid系統(tǒng)的這一缺點(diǎn)而大聲罵過(guò)街。 有會(huì)有人說(shuō)了,iphone4和微軟系統(tǒng)也都不支持關(guān)機(jī)鬧鈴呀。
沒(méi)錯(cuò),但是塞班系統(tǒng)的手機(jī)支持,mtk芯片的手機(jī)支持、展訊芯片的手機(jī),請(qǐng)問(wèn)你還有什么理由不支持!如果這條理由還不足以讓你清醒,那么,我再告訴你同樣基于android系統(tǒng)開(kāi)發(fā)的 聯(lián)想樂(lè)phone 就支持!聯(lián)想可以搞定的事情,你谷歌為什么搞不定!是實(shí)力不濟(jì)還是壓根就沒(méi)有真正考慮過(guò)用戶需求?3、撥號(hào)后自動(dòng)掛斷電話 通話bug頻繁出現(xiàn) 手機(jī)的基本功能就是通訊工具,無(wú)論科技發(fā)展到多么隨心所欲的境界,這一點(diǎn)都是毋庸置疑的。但是android系統(tǒng)卻在最基本的通話功能上出了問(wèn)題。
很多論壇里的網(wǎng)友都反應(yīng)的一件事情就是,android系統(tǒng)手機(jī)在撥號(hào)通話時(shí)經(jīng)常遇見(jiàn)這樣的郁悶情況。撥號(hào)以后,電話尚未接通會(huì)被系統(tǒng)自動(dòng)掛斷。
而且,這絕不是某款android手機(jī)的問(wèn)題,而是很多android系統(tǒng)手機(jī)的通病。4、對(duì)硬件配置要求高 制造成本增加 近期各種高頻處理器,各種高ram內(nèi)存的手機(jī)頻現(xiàn),為玩家奉獻(xiàn)了一場(chǎng)幾乎華麗的視覺(jué)大餐。
可以說(shuō)谷歌android系統(tǒng)在其中做了推波助瀾的效果,原因很簡(jiǎn)單,android系統(tǒng)的手機(jī)對(duì)硬件配置要求過(guò)高,廠商如果不推出高硬件標(biāo)準(zhǔn)的手機(jī)怎么在這個(gè)競(jìng)爭(zhēng)激烈的時(shí)代立足呢?不過(guò),我們可以換個(gè)角度考慮一下,這些高配置的手機(jī)價(jià)錢怎么樣?如果你不是富二代,你爹不是李剛的話,你肯定不會(huì)淡定的。 盡管谷歌方面一再聲稱,android系統(tǒng)對(duì)手機(jī)硬件沒(méi)有明確的配置要求,對(duì)廠商使用什么樣規(guī)格的硬件配置只是提出建議。
但是,如果廠商不接受建議,采用的低配置的硬件,將會(huì)是什么后果?顯然易見(jiàn),這款手機(jī)一定會(huì)在競(jìng)爭(zhēng)中被無(wú)情淘汰。我要舉例說(shuō)明一下,android系統(tǒng)手機(jī)的cpu主頻已經(jīng)達(dá)到1.2ghz主頻,甚至雙核1.2ghz主頻的手機(jī)也開(kāi)始出現(xiàn)了。
但是塞班系統(tǒng)至今沒(méi)有出現(xiàn)過(guò)一款cpu主頻能夠達(dá)到1ghz主頻的手機(jī)。難道塞班手機(jī)真的比android系統(tǒng)手機(jī)落后那么多?目前塞班系統(tǒng)很多的手機(jī)處理器都只有600mhz,系統(tǒng)ram內(nèi)存128mb,但是運(yùn)行速度還是非常流暢的。
但是如果是一款android系統(tǒng)手機(jī),配備了600mhz、128mb ram的硬件,運(yùn)行速度有多慢,我想用過(guò)的人都是十分清楚兩者之間的差距的。就象這位網(wǎng)友在論壇里說(shuō)的那樣,android系統(tǒng)手機(jī)的高配置、高硬件帶來(lái)的高成本最后都是轉(zhuǎn)嫁給消費(fèi)者的。
5、系統(tǒng)偷跑流量 流量流失情況驚人 按照谷歌方面的描述,android系統(tǒng)最大的優(yōu)勢(shì)在于與互聯(lián)網(wǎng)貼合緊密,使用android系統(tǒng)手機(jī)可以盡享移動(dòng)互聯(lián)網(wǎng)帶來(lái)的歡樂(lè)。但是,有沒(méi)有想過(guò)這種谷歌引以為豪的優(yōu)勢(shì)有一天會(huì)變成消費(fèi)者眼中的大敵。
查看一下網(wǎng)上的記錄,有多少人抱怨android系統(tǒng)手機(jī)費(fèi)流量,原來(lái)塞班時(shí)候30m玩一個(gè)月的時(shí)代已經(jīng)一去不復(fù)返了。 6、系統(tǒng)費(fèi)電嚴(yán)重 安卓手機(jī)續(xù)航不足 應(yīng)用程序?qū)崟r(shí)更新產(chǎn)生不僅僅是白白跑掉的網(wǎng)絡(luò)流量,還在于這些更新活動(dòng)也導(dǎo)致手機(jī)電量白白浪費(fèi)掉。
在各種手機(jī)論壇中,我們見(jiàn)到最多的帖子就是抱怨某款手機(jī)的續(xù)航能力不足。如果是一款兩款手機(jī)如此,說(shuō)明是手機(jī)本身的電源管理系統(tǒng)有缺陷,如果是絕大多數(shù)的安卓手機(jī)都這樣,我們只能把矛頭指向谷歌android系統(tǒng)本身。
7、死機(jī)現(xiàn)象頻現(xiàn) android系統(tǒng)普遍存在 android系統(tǒng)還有一個(gè)頻現(xiàn)的bug在于手機(jī)死機(jī)現(xiàn)象比較頻繁。而死機(jī)發(fā)生的環(huán)境也是多種多樣,有的是在運(yùn)行某款程序時(shí)突然死機(jī),有的是上網(wǎng)期間突然死機(jī),有的甚至是在待機(jī)狀態(tài)下也會(huì)發(fā)生死機(jī)現(xiàn)象。
盡管用戶反應(yīng),死機(jī)現(xiàn)象發(fā)生的頻率不盡相同,但是幾乎所有的android手機(jī)用戶都遇到過(guò)死機(jī)現(xiàn)象。 由于android系統(tǒng)開(kāi)放程度高,因此造成大量的手機(jī)廠商和軟件開(kāi)放商涌入以圖得一杯美羹。
而由于google market的測(cè)試、審核機(jī)制又不是很完善,導(dǎo)致了很多并不很穩(wěn)定甚至?xí)?dǎo)致系統(tǒng)崩潰的軟件被發(fā)布出來(lái)。此外,由于系統(tǒng)過(guò)于開(kāi)放,很多網(wǎng)友玩家自行制作了很多各種版本的rom,各種rom穩(wěn)定性,水平參差不齊也是手機(jī)死機(jī)的誘因之一。
此外,對(duì)于很多新入手智能手機(jī)的玩家來(lái)說(shuō),各種rom也導(dǎo)致android系統(tǒng)版本眼花繚亂,使得他們顯然無(wú)法駕馭得了。8、系統(tǒng)“智商不高” 計(jì)算器不會(huì)計(jì)算 近日,在各大手機(jī)論壇和android社區(qū)都會(huì)發(fā)現(xiàn)一個(gè)令人匪夷所思的帖子,不少網(wǎng)友都紛紛表示android系統(tǒng)自帶的計(jì)算器爆出低級(jí)錯(cuò)誤,android手機(jī)內(nèi)置的計(jì)算器。
2.安卓有哪些安全漏洞
據(jù)悉,此次在安卓系統(tǒng)上發(fā)現(xiàn)的這些漏洞為一種被稱為“Pileup”的新型漏洞,“Pileup”為“通過(guò)升級(jí)而導(dǎo)致權(quán)限提升”的縮寫。由于這些“Pileup”型漏洞存在,一旦安卓系統(tǒng)進(jìn)行升級(jí),將導(dǎo)致惡意代碼應(yīng)用的訪問(wèn)權(quán)限升級(jí),而用戶對(duì)此卻毫不知情。
研究人員寫道,“每隔幾個(gè)月時(shí)間,谷歌都要發(fā)布安卓系統(tǒng)的更新,這將導(dǎo)致激活系統(tǒng)內(nèi)添加數(shù)萬(wàn)個(gè)新文件,或者一些文件被更換。而每款新應(yīng)用在安裝時(shí)都需要在自己的沙箱和系統(tǒng)特權(quán)內(nèi)進(jìn)行嚴(yán)格配置,從而不會(huì)對(duì)現(xiàn)有應(yīng)用和用戶數(shù)據(jù)構(gòu)成破壞。這一復(fù)雜的移動(dòng)更新邏輯程序,使得安卓系統(tǒng)存在了安全缺陷。”
研究人員聲稱,他們已經(jīng)在AndroidPackage管理服務(wù)(PMS)上發(fā)現(xiàn)了六種不同的Pileup漏洞,并證實(shí),這些漏洞存在于所有的Android開(kāi)源項(xiàng)目版本,影響到了來(lái)自不同制造商和運(yùn)營(yíng)商的3500多款定制版本的安卓手機(jī)。研究人員聲稱,這意味著全球有超過(guò)十億部安卓設(shè)備面臨Pileup漏洞攻擊危險(xiǎn)。 據(jù)悉,安全研究人員已向谷歌公司通報(bào)了所有這些安全漏洞,而且谷歌已完成其中一處漏洞的修復(fù)。
3.安卓系統(tǒng)爆出的漏洞,你補(bǔ)上了嗎
今天在cnbeta看到了一則新聞,國(guó)外研究機(jī)構(gòu)在安卓系統(tǒng)中發(fā)現(xiàn)了短信詐騙漏洞,這個(gè)漏洞涵蓋了當(dāng)下的所有安卓系統(tǒng),從1。
6到4。1無(wú)一幸免,安卓系統(tǒng)的安全性一直就飽受外界的詬病,但是如此大規(guī)模的被爆出安全漏洞還是首次,并且這些研究者還說(shuō),黑客們利用這些漏洞能夠輕松的從機(jī)油的手機(jī)中包括各種賬號(hào)密碼在內(nèi)的所有隱私信息,稍后我會(huì)貼出新聞鏈接,感興趣的機(jī)油可以去研究一下。
雖然新聞中提到的漏洞對(duì)咱們這些普通機(jī)油來(lái)說(shuō)顯得有點(diǎn)專業(yè),但可以肯定的是,只要咱們意識(shí)到這個(gè)漏洞的存在并采取相應(yīng)的行動(dòng),是完全可以避免這些漏洞被黑客利用的,引用一下研究者的話“警惕一切收到的文本信息”,防止一些惡意軟件會(huì)利用短信詐騙漏洞來(lái)造成收到短信的假象,甚至是偽造咱們手機(jī)通訊錄聯(lián)系人給咱們發(fā)短信的假象。 令人感到欣慰的是這些研究者正在跟google方面積極的聯(lián)系,希望他們的建議能夠引起google官方的重視,并且能夠及早的給咱們這些機(jī)油發(fā)送相關(guān)補(bǔ)丁。
不過(guò)從google的行事作風(fēng)來(lái)看,要是等著官方的補(bǔ)丁估計(jì)連黃花菜都涼了,所以在官方補(bǔ)丁發(fā)出之前,我想咱們應(yīng)該聽(tīng)從一下研究者的話,為手機(jī)安裝一款殺毒軟件,對(duì)含有惡意插件的應(yīng)用軟件進(jìn)行強(qiáng)制清理和卸載,暫時(shí)讓殺毒軟件來(lái)?yè)?dān)當(dāng)填補(bǔ)系統(tǒng)漏洞的責(zé)任,從本人的玩機(jī)經(jīng)驗(yàn)來(lái)看,當(dāng)前的手機(jī)殺軟中能夠當(dāng)此重任的手機(jī)殺軟只有網(wǎng)秦安全,因?yàn)樗娴墓δ茏阋哉疹櫟绞謾C(jī)安全的各個(gè)方面,特別是惡意鏈接過(guò)濾和智能防騷擾系統(tǒng)的配合使用,可以攔截任何垃圾短信和帶有惡意鏈接的短信,并且網(wǎng)秦安全對(duì)含有惡意插件和惡意代碼的應(yīng)用軟件進(jìn)行深度的識(shí)別和清除,避免有軟件會(huì)利用安卓系統(tǒng)的短信漏洞來(lái)興風(fēng)作浪。
4.Android 應(yīng)用有哪些常見(jiàn),常被利用的安全漏洞
首先,題主詢問(wèn)“Android 應(yīng)用”的安全漏洞,說(shuō)到 Android 應(yīng)用的安全漏洞,如果拋開(kāi)系統(tǒng)設(shè)計(jì)問(wèn)題,其主要原因是開(kāi)發(fā)過(guò)程當(dāng)中疏漏引起的。但其實(shí)也并不能把這些責(zé)任都怪在程序猿頭上。所以本答案也將會(huì)對(duì) Android 系統(tǒng)設(shè)計(jì)以及生態(tài)環(huán)境做一些闡述。(如果想了解 Android 惡意軟件的情況,那就需要另開(kāi)題目了。)
1. 應(yīng)用反編譯
漏洞:APK 包非常容易被反編譯成可讀文件,稍加修改就能重新打包成新的 APK。
利用:軟件破解,內(nèi)購(gòu)破解,軟件邏輯修改,插入惡意代碼,替換廣告商 ID。
建議:使用 ProGuard 等工具混淆代碼,重要邏輯用 NDK 實(shí)現(xiàn)。
例子:反編譯重打包 FlappyBird,把廣告商 ID 換了,游戲改加插一段惡意代碼等等。
2. 數(shù)據(jù)的存儲(chǔ)與傳輸
漏洞:外部存儲(chǔ)(SD 卡)上的文件沒(méi)有權(quán)限管理,所有應(yīng)用都可讀可寫。開(kāi)發(fā)者把敏感信息明文存在 SD 卡上,或者動(dòng)態(tài)加載的 payload 放在 SD 卡上。
利用:竊取敏感信息,篡改配置文件,修改 payload 邏輯并重打包。
建議:不要把敏感信息放在外部存儲(chǔ)上面;在動(dòng)態(tài)加載外部資源的時(shí)候驗(yàn)證文件完整性。
漏洞:使用全局可讀寫(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的內(nèi)部存儲(chǔ)方式,或明文存儲(chǔ)敏感信息(用戶賬號(hào)密碼等)。
利用:全局讀寫敏感信息,或 root 后讀取明文信息。
建議:不適用全局可讀寫的內(nèi)部存儲(chǔ)方式,不明文存儲(chǔ)用戶賬號(hào)密碼。
3. 密碼泄露
漏洞:密碼明文存儲(chǔ),傳輸。
利用:
root 后可讀寫內(nèi)部存儲(chǔ)。
SD 卡全局可讀寫。
公共 WiFi 抓包獲取賬號(hào)密碼。
建議:實(shí)用成熟的加密方案。不要把密碼明文存儲(chǔ)在 SD 卡上。
4. 組件暴露 (Activity, Service, Broadcast Receiver, Content Provider)
漏洞:
組件在被調(diào)用時(shí)未做驗(yàn)證。
在調(diào)用其他組件時(shí)未做驗(yàn)證。
利用:
調(diào)用暴露的組件,達(dá)到某種效果,獲取某些信息,構(gòu)造某些數(shù)據(jù)。(比如:調(diào)用暴露的組件發(fā)短信、微博等)。
監(jiān)聽(tīng)暴露組件,讀取數(shù)據(jù)。
建議:驗(yàn)證輸入信息、驗(yàn)證組件調(diào)用等。android:exported 設(shè)置為 false。使用 android:protectionLevel="signature" 驗(yàn)證調(diào)用來(lái)源。
5. WebView
漏洞:
惡意 App 可以注入 JavaScript 代碼進(jìn)入 WebView 中的網(wǎng)頁(yè),網(wǎng)頁(yè)未作驗(yàn)證。
惡意網(wǎng)頁(yè)可以執(zhí)行 JavaScript 反過(guò)來(lái)調(diào)用 App 中注冊(cè)過(guò)的方法,或者使用資源。
利用:
惡意程序嵌入 Web App,然后竊取用戶信息。
惡意網(wǎng)頁(yè)遠(yuǎn)程調(diào)用 App 代碼。更有甚者,通過(guò) Java Reflection 調(diào)用 Runtime 執(zhí)行任意代碼。
建議:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用時(shí)對(duì)輸入進(jìn)行驗(yàn)證。
6. 其他漏洞
ROOT 后的手機(jī)可以修改 App 的內(nèi)購(gòu),或者安裝外掛 App 等。
Logcat 泄露用戶敏感信息。
惡意的廣告包。
利用 next Intent。
7. 總結(jié)
Android 應(yīng)用的漏洞大部分都是因?yàn)殚_(kāi)發(fā)人員沒(méi)有對(duì)輸入信息做驗(yàn)證造成的,另外因?yàn)?Intent 這種特殊的機(jī)制,需要過(guò)濾外部的各種惡意行為。再加上 Android 應(yīng)用市場(chǎng)混亂,開(kāi)發(fā)人員水平參差不齊。所以現(xiàn)在 Android 應(yīng)用的漏洞,惡意軟件,釣魚(yú)等還在不斷增多。再加上 root 對(duì)于 App 沙箱的破壞,Android 升級(jí)的限制。國(guó)內(nèi)的 Android 環(huán)境一片混亂,慘不忍睹。所以,如果想要保證你的應(yīng)用沒(méi)有安全漏洞,就要記住:永遠(yuǎn)不要相信外面的世界。
