标签:
摘要 随着Android手机日益深入人们的生活,手机应用也出现了百花齐放的局面。无论是生活应用还是金融支付或是游戏类,都已经驻扎进我们的手机了。但是,我们的应用安全吗?
今年六月初,《2015年第一季度移动安全报告》出炉了,报告显示,安卓移动应用平台,16个行业TOP10应用共有4775个漏洞,平均每个应用有30个漏洞。4775个风险漏洞中,44%属高危漏洞、56%属中危漏洞,显示热门应用安全漏洞不乐观。其中金融、游戏、网购行业TOP10应用平均漏洞为34、15、34个。
由于开发者在开发的过程中可能出现的安全意识薄弱,亦或者是因为遗漏加密,导致自己辛辛苦苦开发的应用上线以后被重新编译、二次打包。更令人担心的是,在这些发布盗版应用的人中,有部分居心不良者存在,通过这些应用传播针对Android系统的木马病毒。
当木马被激活后,它会在后台偷偷收集大量信息,包括:地理位置坐标、设备识别码(IMEI)和用户识别码(IMSI),每隔5分钟就会尝试连接木马内嵌的几个远程服务器地址,连接成功后就会将收集到的信息发送出去。目前针对该木马的代码分析正在进行中,已知该木马具有下列功能:
·发送位置坐标
·发送设备识别码(IMEI和IMSI)
·下载并提示用户安装应用程序
·提示用户卸载应用程序
·收集已安装的应用列表并发送到远程服务器
大家可以看看这款apk文件(图1)出现的哪些漏洞:
对于APK的权限,大部分用户或许在安装apk已经有所注意,但是对于一些敏感的权限可能还不够关注。
这里我们主要介绍两种需要大家留意的权限:涉及隐私类、涉及系统安全类和涉及手机付费类
|
涉及隐私类 |
||
|
您的位置 |
(基于网络的)粗略位置 |
隐私权限 |
|
您的位置 |
精准的(GPS)位置 |
隐私权限 |
|
系统工具 |
格式化外部存储设备 |
隐私权限 |
|
系统工具 |
装载和卸载文件系统 |
隐私权限 |
|
您的个人信息 |
读取联系人数据 |
隐私权限 |
|
您的信息 |
接收短信 |
隐私权限 |
|
您的个人信息 |
写入联系数据 |
隐私权限 |
|
存储 |
修改/删除 SD 卡中的内容 |
隐私权限 |
|
您的信息 |
编辑短信或彩信 |
隐私权限 |
|
涉及系统安全类 |
||
|
网络通信 |
完全的互联网访问权限 |
系统权限 |
|
涉及手机付费类 |
||
|
需要您付费的服务 |
直接拨打电话号码 |
付费 |
|
系统工具 |
更改网络连接性 |
付费 |
|
需要您付费的服务 |
发送短信 |
付费 |
根据上面的权限,我们可以给手机apk文件做检测,测试出你手机apk文件健康指数。首先我们把手机应用的apk文件下载下来,上爱内测网站,进行文件上传与检测,下载检测报告后,报告里面会给你指出应用中出现了哪些漏洞需要修复。报告中其实很大的程度上告诉我们,所用的这个应用安全系数到底多大。
然而也请大家明白这样一点:并非有涉及此类“特别”的应用,我们就都不能安装了。
关键要确定这个应用本身有没有必要获取这个权限,这个应用的开发者是不是值得信任的。
我们始终相信玩Android手机的机友们都是手机用户中最聪明的,你们会很好的把握这个度。LBE本身也有禁用APK权限的功能,如果不放心来源不明的APK,可自己设置。
数据参考
图一数据出自爱内测(www.detect.cn)检测报告
标签:
原文地址:http://www.cnblogs.com/houhaizi/p/4560467.html
