事件

我们的信息为什么会被泄露?


昨天听一个金融口的记者讲她经历电话诈骗的经过,好在没有受骗,我们是当笑话听了,但也唏嘘不已,一惊骗子太专业还高科技,二叹生活斗智斗勇欢乐也惊险。

听完,我倒又想起在中国互联网大会上听到的关于手机系统安全的分析,前一天介绍了《黑寡妇怎样1分钟黑掉iPhone?》,其实还有一个关于Android系统的,也来分享下。

有几个诈骗情节,我们有的人可能遇到过,比如收到过从亲朋好友的电话发过来的借钱短信,或者你的个人信息、密码不知从什么渠道就泄露出去了。我们常常会骂说是电信运营商或者银行把我们的个人信息泄露了,在会上听完手机漏洞的讲解,我心想,也许有时候我们真的扣错屎盆子了。

先问大家一个问题,现在世界上有多少款Android手机?现学现卖一下,在会上听到的数据是超过一万款安卓机型,分布在20多个不同的版本中。怎么来的?是安卓厂商数目乘以每个厂商的型号数目,加上山寨机型号数目。大家都知道大多数安卓手机都由不同的手机厂商进行了深度定制。于是,问题就来了,研究发现厂商定制往往会引诱一些安全隐患,约70%的手机漏洞都是来自于厂商定制。都是什么漏洞呢?主要就是隐私泄露和权限泄露。引发的就是上面列举的典型问题。

定制和漏洞之间是什么关系呢?厂商定制手机,往往会内置应用。而平均80%的内置应用过渡申请权限,这就成为一个潜在的威胁,使得手机主要是两类漏洞,第一是隐私泄露,第二是权限泄露。

隐私泄露,比如无线网络密码泄露,用户所有在手机里面输入过的密码可以泄露出去。另外可以通过操作手机权限管理,比如可以删除短信、拦截短信以及拦截电话等。 其中,后台打电话,短信欺诈是比较常见的。还有就是好友可能在微信里面给你发送某些信息,你在点这个以后,实际上是一个恶意的网页,那么你在点这个恶意网页的时候,恶意病毒被你不知不觉下载了,它就对你进行系统提权,提权以后可以套取用户隐私,然后将你的用户名、密码、以及通信录和短消息获取走。

厂商定制引入漏洞的形式主要有两种:
一是引起短信欺诈漏洞。安装一个短信应用,安装应用的时候,这个应用不需要任何的权限,恶意攻击就有机可乘了,可以控制短信的内容,于是就可能造成两种伪造,第一种是伪造来自于银行的短信,第二种是伪造来自于家人和朋友的短信。

另外一个形式,静默安装,是利用后台下载安装应用,整个安装过程,并不需要机主来参与,厂商定制所引入,存在隐私泄露、好友信息以及消息记录泄露的问题,那么不仅仅是隐私泄露,还有权限泄露,也就是说,它会通过这个权限泄露,会有后台短信,短信欺诈,后台电话,并且会修改应用受权。

为什么不能马上很快补救呢?因为手机定制的流程大致是这样,首先手机厂商会对安卓的原始代码进行整合,这些代码合在一块,就会衍生出不同的安卓代码;然后,手机芯片厂商将驱动提供给不同的厂商,手机厂商拿到驱动以后会将它放到自己所推的手机中去。如果芯片驱动有漏洞的话,那么它将影响这个市面上所有的采用这个芯片的手机。这种碎片化的定制会师更新比较困难,因为从发布安卓代码到厂商发布升级包大概有六个月的时间。这个过程中有些厂商可能会被收购等等,就不会再推出相应的版本,就导致这些手机还停留在过去的版本。

定制对于安全的影响还是比较大的,从好的方面来讲,定制确实可以带来很多的优点,比如说新的安全功能,权限管理,隐私空间,做一些更好的用户体验,并且可以独立修复原生代码的漏洞。但是同时我们也发现定制有比较大的缺点,这个缺点就是厂商的定制可能会带来新的安全隐患。

那手机用户可以做什么呢?就是使用权限管理,主动的去赋予一些权限或者是回收一些权限,那么我们可以通过修改权限管理功能,把它完全的给去掉。

浏览过本文章的用户还浏览过

    豌豆荚推出iOS版云相册

    豌豆荚也有iOS版的产品了。 日前,豌豆荚发布了 iOS 版「云相册」,提供在 Android 与 iOS 智能终端设备之间顺畅同步海量照片的服务。这是豌豆荚的首个非 Android 平台产品,也是豌豆荚向移动互联网内容入口战略扩张的重要一步。 根据 IDC 公布的最新统计数 [详细]

    Facebook 为 Graph Search 增加新功能,可搜索消息帖、评论、签

    【 Facebook 为 Graph Search 增加新功能,可搜索消息帖、评论、签到等】 Graph Search 是 Facebook 在今年一月份推出的社交图谱搜索工具,用户使用 Graph Search 时能以自然语言搜索出相关的人、地点和事物。Facebook 用户产生内容的信息流(News Feed)、 [详细]

    Evernote与Salesforce.com合作开发协同应用

    Evernote想要在企业领域内进一步强化自己的笔记和共享应用程序,他们希望可以通过Salesforce.com最新发布的平台版本实现自己的目标。Evernote for Salesforce,本周五在Evernote大会上登场,这款应用将会在Salesforce的AppExchange在线商店上架。在正式发布 [详细]

    苹果为可穿戴设备再出手:挖走耐克顶级设计师 Ben Shaffer【快鲤

    【苹果为可穿戴设备再出手:挖走耐克顶级设计师 Ben Shaffer 】 据悉,苹果已经挖走了耐克公司的顶级设计师 Ben Shaffer,而耐克方面已经确认了这一消息,苹果拒绝对此置评。在此之前,苹果已经从耐克挖走了另一位健身产品专家Jay Blahnik。这一系列消息似乎 [详细]