昨天聽一個金融口的記者講她經(jīng)歷電話詐騙的經(jīng)過�����,好在沒有受騙�,我們是當(dāng)笑話聽了,但也唏噓不已����,一驚騙子太專業(yè)還高科技�,二嘆生活斗智斗勇歡樂也驚險。
聽完�,我倒又想起在中國互聯(lián)網(wǎng)大會上聽到的關(guān)于手機(jī)系統(tǒng)安全的分析,前一天介紹了《黑寡婦怎樣1分鐘黑掉iPhone���?》�,其實(shí)還有一個關(guān)于Android系統(tǒng)的,也來分享下�。
有幾個詐騙情節(jié),我們有的人可能遇到過���,比如收到過從親朋好友的電話發(fā)過來的借錢短信��,或者你的個人信息��、密碼不知從什么渠道就泄露出去了����。我們常常會罵說是電信運(yùn)營商或者銀行把我們的個人信息泄露了���,在會上聽完手機(jī)漏洞的講解����,我心想�,也許有時候我們真的扣錯屎盆子了。
先問大家一個問題�����,現(xiàn)在世界上有多少款A(yù)ndroid手機(jī)����?現(xiàn)學(xué)現(xiàn)賣一下���,在會上聽到的數(shù)據(jù)是超過一萬款安卓機(jī)型,分布在20多個不同的版本中�。怎么來的?是安卓廠商數(shù)目乘以每個廠商的型號數(shù)目���,加上山寨機(jī)型號數(shù)目��。大家都知道大多數(shù)安卓手機(jī)都由不同的手機(jī)廠商進(jìn)行了深度定制�。于是���,問題就來了���,研究發(fā)現(xiàn)廠商定制往往會引誘一些安全隱患,約70%的手機(jī)漏洞都是來自于廠商定制�。都是什么漏洞呢����?主要就是隱私泄露和權(quán)限泄露。引發(fā)的就是上面列舉的典型問題�。
定制和漏洞之間是什么關(guān)系呢��?廠商定制手機(jī)��,往往會內(nèi)置應(yīng)用�。而平均80%的內(nèi)置應(yīng)用過渡申請權(quán)限����,這就成為一個潛在的威脅,使得手機(jī)主要是兩類漏洞�����,第一是隱私泄露����,第二是權(quán)限泄露。
隱私泄露��,比如無線網(wǎng)絡(luò)密碼泄露���,用戶所有在手機(jī)里面輸入過的密碼可以泄露出去���。另外可以通過操作手機(jī)權(quán)限管理,比如可以刪除短信�、攔截短信以及攔截電話等���。 其中,后臺打電話��,短信欺詐是比較常見的����。還有就是好友可能在微信里面給你發(fā)送某些信息,你在點(diǎn)這個以后�����,實(shí)際上是一個惡意的網(wǎng)頁�,那么你在點(diǎn)這個惡意網(wǎng)頁的時候,惡意病毒被你不知不覺下載了����,它就對你進(jìn)行系統(tǒng)提權(quán),提權(quán)以后可以套取用戶隱私����,然后將你的用戶名、密碼��、以及通信錄和短消息獲取走����。
廠商定制引入漏洞的形式主要有兩種:
一是引起短信欺詐漏洞。安裝一個短信應(yīng)用���,安裝應(yīng)用的時候�����,這個應(yīng)用不需要任何的權(quán)限��,惡意攻擊就有機(jī)可乘了�,可以控制短信的內(nèi)容��,于是就可能造成兩種偽造���,第一種是偽造來自于銀行的短信��,第二種是偽造來自于家人和朋友的短信���。
另外一個形式,靜默安裝�,是利用后臺下載安裝應(yīng)用,整個安裝過程�,并不需要機(jī)主來參與����,廠商定制所引入��,存在隱私泄露�、好友信息以及消息記錄泄露的問題,那么不僅僅是隱私泄露�����,還有權(quán)限泄露�,也就是說,它會通過這個權(quán)限泄露����,會有后臺短信,短信欺詐����,后臺電話,并且會修改應(yīng)用受權(quán)��。
為什么不能馬上很快補(bǔ)救呢��?因?yàn)槭謾C(jī)定制的流程大致是這樣,首先手機(jī)廠商會對安卓的原始代碼進(jìn)行整合���,這些代碼合在一塊,就會衍生出不同的安卓代碼��;然后����,手機(jī)芯片廠商將驅(qū)動提供給不同的廠商,手機(jī)廠商拿到驅(qū)動以后會將它放到自己所推的手機(jī)中去��。如果芯片驅(qū)動有漏洞的話���,那么它將影響這個市面上所有的采用這個芯片的手機(jī)�����。這種碎片化的定制會師更新比較困難����,因?yàn)閺陌l(fā)布安卓代碼到廠商發(fā)布升級包大概有六個月的時間��。這個過程中有些廠商可能會被收購等等�����,就不會再推出相應(yīng)的版本,就導(dǎo)致這些手機(jī)還停留在過去的版本����。
定制對于安全的影響還是比較大的,從好的方面來講�����,定制確實(shí)可以帶來很多的優(yōu)點(diǎn)���,比如說新的安全功能�,權(quán)限管理����,隱私空間,做一些更好的用戶體驗(yàn)��,并且可以獨(dú)立修復(fù)原生代碼的漏洞���。但是同時我們也發(fā)現(xiàn)定制有比較大的缺點(diǎn)����,這個缺點(diǎn)就是廠商的定制可能會帶來新的安全隱患。
那手機(jī)用戶可以做什么呢��?就是使用權(quán)限管理�����,主動的去賦予一些權(quán)限或者是回收一些權(quán)限��,那么我們可以通過修改權(quán)限管理功能��,把它完全的給去掉�����。
