我們的信息為什么會被泄露?
聽完,我倒又想起在中國互聯(lián)網(wǎng)大會上聽到的關(guān)于手機(jī)系統(tǒng)安全的分析,前一天介紹了《黑寡婦怎樣1分鐘黑掉iPhone?》,其實(shí)還有一個關(guān)于Android系統(tǒng)的,也來分享下。 先問大家一個問題,現(xiàn)在世界上有多少款A(yù)ndroid手機(jī)?現(xiàn)學(xué)現(xiàn)賣一下,在會上聽到的數(shù)據(jù)是超過一萬款安卓機(jī)型,分布在20多個不同的版本中。怎么來的?是安卓廠商數(shù)目乘以每個廠商的型號數(shù)目,加上山寨機(jī)型號數(shù)目。大家都知道大多數(shù)安卓手機(jī)都由不同的手機(jī)廠商進(jìn)行了深度定制。于是,問題就來了,研究發(fā)現(xiàn)廠商定制往往會引誘一些安全隱患,約70%的手機(jī)漏洞都是來自于廠商定制。都是什么漏洞呢?主要就是隱私泄露和權(quán)限泄露。引發(fā)的就是上面列舉的典型問題。 隱私泄露,比如無線網(wǎng)絡(luò)密碼泄露,用戶所有在手機(jī)里面輸入過的密碼可以泄露出去。另外可以通過操作手機(jī)權(quán)限管理,比如可以刪除短信、攔截短信以及攔截電話等。 其中,后臺打電話,短信欺詐是比較常見的。還有就是好友可能在微信里面給你發(fā)送某些信息,你在點(diǎn)這個以后,實(shí)際上是一個惡意的網(wǎng)頁,那么你在點(diǎn)這個惡意網(wǎng)頁的時候,惡意病毒被你不知不覺下載了,它就對你進(jìn)行系統(tǒng)提權(quán),提權(quán)以后可以套取用戶隱私,然后將你的用戶名、密碼、以及通信錄和短消息獲取走。 另外一個形式,靜默安裝,是利用后臺下載安裝應(yīng)用,整個安裝過程,并不需要機(jī)主來參與,廠商定制所引入,存在隱私泄露、好友信息以及消息記錄泄露的問題,那么不僅僅是隱私泄露,還有權(quán)限泄露,也就是說,它會通過這個權(quán)限泄露,會有后臺短信,短信欺詐,后臺電話,并且會修改應(yīng)用受權(quán)。 為什么不能馬上很快補(bǔ)救呢?因?yàn)槭謾C(jī)定制的流程大致是這樣,首先手機(jī)廠商會對安卓的原始代碼進(jìn)行整合,這些代碼合在一塊,就會衍生出不同的安卓代碼;然后,手機(jī)芯片廠商將驅(qū)動提供給不同的廠商,手機(jī)廠商拿到驅(qū)動以后會將它放到自己所推的手機(jī)中去。如果芯片驅(qū)動有漏洞的話,那么它將影響這個市面上所有的采用這個芯片的手機(jī)。這種碎片化的定制會師更新比較困難,因?yàn)閺陌l(fā)布安卓代碼到廠商發(fā)布升級包大概有六個月的時間。這個過程中有些廠商可能會被收購等等,就不會再推出相應(yīng)的版本,就導(dǎo)致這些手機(jī)還停留在過去的版本。 那手機(jī)用戶可以做什么呢?就是使用權(quán)限管理,主動的去賦予一些權(quán)限或者是回收一些權(quán)限,那么我們可以通過修改權(quán)限管理功能,把它完全的給去掉。 |
|