注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

科技说

"科技说”是一群由互联网评论员,媒体人,工程师,投资人组成的科技期刊,用

 
 
 

日志

 
 

科技说第2期:你的App安全吗?   

2012-10-19 17:50:30|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

科技说第2期:你的App安全吗? - 科技说 - 科技说
 

如果你的手机遇到过以下问题:

手机怎么这么快就没电了!!

上网流量怎么突然超了这么多!!

程序明明关了怎么还显示在运行!!

广告一拨一拨的弹,可我什么都没点!!

经常被陌生来电骚扰,却不知道什么时候泄露了电话号码!!

恭喜你,你的手机正在被无良App骚扰,来小说说这里做个诊断吧。

先给这些坏家伙排个座次,目前市面上的无良App主要有三大类型:内嵌广告、病毒程序和隐私窥探

且听小说说一一分解:

内嵌广告

病理:用户免费下载使用App,开发者在App中嵌入广告来获得收入,广告投放平台通过收集到的用户信息和自己的广告客户进行匹配,以此来获得更好的广告点击率和收入并和开发者进行分成。广告投放平台收集到的用户信息越多,给推送的广告就越精确,意味着用户的点击率和转化率更高,广告收益也就越高。开发者和广告平台实现双赢,普通使用者则需要付出更多的流量和隐私泄漏的风险。

病例:系统软件深度卸载

    该软件会诱使用户点击广告,从而造成消耗大量网络流量。

毒性:消耗流量、电量、系统资源。

病毒程序

病理:病毒感染到手机后,会以不被察觉的形式来使用手机的一切功能。在手机屏幕上不会有任何显示,悄默声的就把要做的事情做了。病毒会代替你使用手机的所有服务。比如给你的朋友发个短信,然后从已发短信中再把这条信息删了。你能做到的,病毒都能做到。

病例:宅男必备    

      伪装成系统更新来下载流氓软件,且无法正常关闭。

      变形金刚桌面闹钟

    软件安装后屏蔽安全软件,并偷偷下载流氓软件。

毒性:稀里糊涂定制各种信息,手机资费被大量扣除。

隐私窥探

病理:窥探隐私App会不断扫描用户信息,包括通讯录,通话记录,短信信息,手机号码,定位信息,照片文件并上传服务器。

病例:便捷设置

     该App伪装成系统组件在后台运行,并窃取用户隐私。

      魔力占星

    软件记录用户短信、通讯录等隐私资料,联网上传到木马服务器。

毒性:一不留神,冠希老师、宗瑞老师可能就是我们的榜样。

目前这三大无良App主要寄生场所是Android平台iPhoneWindows Phone两大平台因为权限限制较为严格,每个应用都经过严格审核,其安全风险要远小于Android

在中国,手机厂商可以随意修改Android系统,用户大多从Android市场下载软件,而不是谷歌官方的Google Play。这些客观原因汇聚起来造就了Android这个充满陷阱的大熔炉。

有统计数据表明:

133%Android应用程序(App)会申请软件本身不需要的权限,比如一个手电筒要申请定位。

283%的用户在安装App时,不会注意权限提醒。

342%的用户完全不懂什么是权限。

所以,广大的Android用户们,特别是小白用户们,好好补一课吧。

为了搞清楚这些问题,小说说特别邀请知名安全专家、金山软件工程师李铁军为我们解答几个问题,以下为问答实录:

问题1

小说说:用金山手机毒霸检测,有相当一部分App在获取用户手机号码并上传,有些是直接扫描通讯录、短信、通话记录。这些App在隐私侵权方面究竟有多大的危险?

李铁军:在我们的统计中,手机应用软件(App)直接上传用户隐私信息的情况比较少,这些功能往往是由第三方的广告插件来实现的。而广告插件影响的面就非常大:通常一部手机里有数十款软件,而每款软件里,通常包含10多款广告插件,其中带有侵犯隐私功能的广告插件占到60%。从这些数据看,内置恶意广告插件的App,对用户的危害最大。

目前来看,功能更强大的手机后门程序,并不常见。这种恶意程序一旦出现,就会被各种手机安全软件查杀。

问题2

小说说:一些窥探短信及通话记录的App是最让手机用户担心的,他们究竟会窥探到哪一步?窥探的都会上传服务器吗?

李铁军:具备后门性质的App是非常危险的,主要威胁安卓系统。后门可以取得安卓手机的短信内容、通话记录和录音、联系人、手机位置信息等等。在已经捕获的几个后门中,得到实际验证:在几个月前,曾经有个安卓后门在邮箱收集了超过5G的中毒用户短信和通话录音。

问题3

小说说:含有广告插件的App除了带来骚扰,还有哪些问题,如何避免?

李铁军:相对于安卓病毒后门这种高度危险的程序来说,更多的应用软件是由于内置了恶意广告插件给用户带来种种烦恼。主要的问题有:窃取隐私带来的骚扰电话、短信或诈骗电话(手机号码、联系人被盗,当然这是用户无法直接感知到的);流量损失(广告下载文件、推广软件,会带来资费损失);部分恶意广告会后台订购一些收费服务(这种行为已经非常接近于病毒行为了);弹出广告骚扰用户,直观感受是安卓手机太难用了,软件广告太多,影响使用体验。

问题4

小说说:目前发现安卓系统的不安全App较多,是不是相对封闭的苹果系统就是安全的呢?

李铁军:相对来讲,封闭的未越狱的苹果系统更安全,因为软件安装的渠道很单一。而安卓最大的风险就在于,软件市场太滥了,鱼目混杂。而且,手机用户的安全防范意识也相对比较薄弱。

问题5

小说说:金山手机毒霸在App安全检测方面有无经典极端例子同大家分享下?

李铁军:比较多见一些电子书应用也要申请地址位置权限、联系人、短信、通话记录权限,一个软件中可以植入超过30个广告插件。

问题6

小说说:目前关于App安全及隐私的法律法规有吗?如果发现侵权行为如何取证及诉讼? 

李铁军:暂时还没有很好的办法来依法解决,受害者很难找到具体的原因:比如,接到骚扰电话的人,很难去确认这个骚扰电话是来源于手机里的某个应用盗窃了个人信息。

好了,说了这么多,相信大家对于Android平台上的App安全隐患有了初步的认识,希望大家防患于未然,祝你的App一生平安!

小说说新浪微博@http://weibo.com/kejishuo

对科技说感兴趣的朋友可以扫描微信二维码加科技说,或加微信号“kejishuo"即可,小说说在微信里等着大家。

科技说第一期:你会卸载360吗? - 科技说 - 科技说
  评论这张
 
阅读(17484)| 评论(7)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017