演唱会

我们的信息为什么会被泄露?


昨天听一个金融口的记者讲她经历电话诈骗的经过,好在没有受骗,我们是当笑话听了,但也唏嘘不已,一惊骗子太专业还高科技,二叹生活斗智斗勇欢乐也惊险。

听完,我倒又想起在中国互联网大会上听到的关于手机系统安全的分析,前一天介绍了《黑寡妇怎样1分钟黑掉iPhone?》,其实还有一个关于Android系统的,也来分享下。

有几个诈骗情节,我们有的人可能遇到过,比如收到过从亲朋好友的电话发过来的借钱短信,或者你的个人信息、密码不知从什么渠道就泄露出去了。我们常常会骂说是电信运营商或者银行把我们的个人信息泄露了,在会上听完手机漏洞的讲解,我心想,也许有时候我们真的扣错屎盆子了。

先问大家一个问题,现在世界上有多少款Android手机?现学现卖一下,在会上听到的数据是超过一万款安卓机型,分布在20多个不同的版本中。怎么来的?是安卓厂商数目乘以每个厂商的型号数目,加上山寨机型号数目。大家都知道大多数安卓手机都由不同的手机厂商进行了深度定制。于是,问题就来了,研究发现厂商定制往往会引诱一些安全隐患,约70%的手机漏洞都是来自于厂商定制。都是什么漏洞呢?主要就是隐私泄露和权限泄露。引发的就是上面列举的典型问题。

定制和漏洞之间是什么关系呢?厂商定制手机,往往会内置应用。而平均80%的内置应用过渡申请权限,这就成为一个潜在的威胁,使得手机主要是两类漏洞,第一是隐私泄露,第二是权限泄露。

隐私泄露,比如无线网络密码泄露,用户所有在手机里面输入过的密码可以泄露出去。另外可以通过操作手机权限管理,比如可以删除短信、拦截短信以及拦截电话等。 其中,后台打电话,短信欺诈是比较常见的。还有就是好友可能在微信里面给你发送某些信息,你在点这个以后,实际上是一个恶意的网页,那么你在点这个恶意网页的时候,恶意病毒被你不知不觉下载了,它就对你进行系统提权,提权以后可以套取用户隐私,然后将你的用户名、密码、以及通信录和短消息获取走。

厂商定制引入漏洞的形式主要有两种:
一是引起短信欺诈漏洞。安装一个短信应用,安装应用的时候,这个应用不需要任何的权限,恶意攻击就有机可乘了,可以控制短信的内容,于是就可能造成两种伪造,第一种是伪造来自于银行的短信,第二种是伪造来自于家人和朋友的短信。

另外一个形式,静默安装,是利用后台下载安装应用,整个安装过程,并不需要机主来参与,厂商定制所引入,存在隐私泄露、好友信息以及消息记录泄露的问题,那么不仅仅是隐私泄露,还有权限泄露,也就是说,它会通过这个权限泄露,会有后台短信,短信欺诈,后台电话,并且会修改应用受权。

为什么不能马上很快补救呢?因为手机定制的流程大致是这样,首先手机厂商会对安卓的原始代码进行整合,这些代码合在一块,就会衍生出不同的安卓代码;然后,手机芯片厂商将驱动提供给不同的厂商,手机厂商拿到驱动以后会将它放到自己所推的手机中去。如果芯片驱动有漏洞的话,那么它将影响这个市面上所有的采用这个芯片的手机。这种碎片化的定制会师更新比较困难,因为从发布安卓代码到厂商发布升级包大概有六个月的时间。这个过程中有些厂商可能会被收购等等,就不会再推出相应的版本,就导致这些手机还停留在过去的版本。

定制对于安全的影响还是比较大的,从好的方面来讲,定制确实可以带来很多的优点,比如说新的安全功能,权限管理,隐私空间,做一些更好的用户体验,并且可以独立修复原生代码的漏洞。但是同时我们也发现定制有比较大的缺点,这个缺点就是厂商的定制可能会带来新的安全隐患。

那手机用户可以做什么呢?就是使用权限管理,主动的去赋予一些权限或者是回收一些权限,那么我们可以通过修改权限管理功能,把它完全的给去掉。

浏览过本文章的用户还浏览过
  • UC何小鹏:中型互联网公司独立战斗越来越难

    这两天在广州参加UC媒体开放日。活动当天参观了UC优视在广州的新办公室,在新食堂吃了午饭,听副总裁王桐同学(内部内部几乎不会互称X总,叫同学更流行)在展厅中介绍了发展过程, 与UC联合创始人何小鹏以及负责九游的林永颂进行了一些交流。对其中一些内容 [详细]

  • 谷歌当日快递服务正式向旧金山开放,推出安卓和iOS版本

    谷歌在六个月前开始在旧金山试运行同日本地快递服务,今天,他们宣布结束试运行,正式向旧金山及周边半岛地区开放服务。 实际上,Amazon Prime,eBay Now,还有Google Shopping Express,这些服务都非常相似,都是让用户在本地商店进行购物,无论何种商品, [详细]

  • 谷歌眼镜允许用户安装第三方应用啦!

    谷歌眼镜准备进行一次规模最大的更新。这么做非常正确,因为谷歌终于可以允许用户安装第三方应用了,而人们也期待已久。 谷歌的可穿戴设备目前已经获得了极大的提升。正如他们承诺过的,每个月谷歌眼镜开发团队都会向应用平台提交更新。这些更新不仅会带来一 [详细]

  • 专访:OpenXLive上1000万装机量是怎么做起来的?

    昨天报道了WindowsPhone上第一个第三方游戏社交平台OpenXLive宣布装机量突破1000万。一直有争议说Windows Phone干不了重活,限制也多,开发不出好游戏,那OpenXLive1000万的装机量是怎么做起来的?OpenFeint最终被苹果自己的GameCenter挤掉了,Windows Phone [详细]