Android安全须知 – 作者:四维创智4DOGS

软件免费像是一种潮流,收费软件生存空间变小,只能变向获利。

于是…..

app加入信息搜集,用户行为收集,植入广告,留后门。

为了利益,修改带资金的app,窃取用户资金。

app加入挖矿功能,挖黑金。

利用第三方sdk接口收集用户信息。

app中插入广告链接。

app中植入木马。

利用用户手机发动ddos攻击。

伪装成官方应用……

我们了解的仅仅是新闻上所报出来的,还有许多暗流不为人知。四维创智作为老牌移动应用安全检测厂商,总结以下几点安全须知,供广大Android用户参考。


1.   不安装非官方应用

非官方apk(Android安装包)可能被植入木马

非官方apk可能被植入木马。

Apk反编译植入木马,利用漏洞系统提权获取手机所有操控权。

毁轮子的成本肯定比造轮子的成本低,apk安全也是一样,目前国内99%apk都是能二次重打包,可任意修改apk,加入新的功能。甚至可以直接复用当前apk包中任意功能。

比如某x信中,只需要将这段代码注释掉,检测更新功能就去掉。

1.png

攻击者可在应用中加入远程执行功能,攻击者可以远程执行应用中的命令,比如远程列举vx的目录。

2.png

某用户在网上搜索自动抢红包软件,下载被植入木马的vx,安装到手机。

某用户在网上搜索跳一跳外挂,不知道里面其实已经植入木马。

我这有自动抢红包的支付宝。下载安装,登录支付宝。

手机连上电脑,某pc端软件提示安装某apk.,界面和某数字公司一样。用户不毫不犹豫安装了…………。

总之一句话,不安装不可信的apk,天下没有免费的午餐,诱人的功能都是糖衣炮弹。

杀毒软件没有root权限是不能对apk内部数据访问的,可是木马和应用已经在一起,虽然多数android手机都能root,可是你真的放心root吗?

没有root的手机已经提示安装一堆送应用,有root权限,直接静默安装到系统中……。

2.确保上网环境安全

通过流量劫持实施http劫持。

大家知道Fillder burpsuite可以抓取http,https的包,并修改返回的结果。

下图为某银行登录时抓取的登录信息:

3.png

不安全http可能遭受流量劫持,并替换流量。比如,某应用更新,更新时被流量劫持,apk更新后变成木马,实施此攻击只需要攻击者与受害者在同一网段,比如在某咖啡店上网。

在公共不安全环境上网时,app访问http域名可能遭到劫持,截取用户信息。

更严重的是伪消更新消息,伪装成提示app更新,用户如果不在意安装了带木马的应用……危害巨大。

3.随时保持系统为最新版本

Image

这是利用堆溢出的vmvare虚拟机逃逸漏洞,发生在低版本的vmvare中,如果用户不升级软件,使用虚拟机过程中可能对真机造成危害。

Android系统也是一样,随着android热度不断攀升,每隔一段时间Android系统都会报出漏洞,如果用户没有及时升级系统版本,可能受到安全威胁。

不完全统计,仅2017年android系统漏洞个数上报达到500以上,这里小编保守估计,其实远远超过这个数。

4.应用升级为最新版本

应用程序更新不只是功能更新,可能是重大的bug修复。

2017年的应用克隆漏洞利用webview域控不严谨,窃取应用数据,威胁支付安全,身份安全。

当app场商得到此消息都会第一时间修复问题,更新新版本可以规避这种类似风险。

5.看管好自己的手机

手机长时间离身,手机系统软件可能被替换。

手机被root,替换应用安装包,植入木马。

应用被替换,app数据被导出,可能造成财产损失。

当下移动市场,android手机五花八门。带木马行为的app能在google play上存活两个月,然而我们上不了google play,这就安全了?

互联网上可以下载自动加抢红包app,可以随意修改手机系统刷机,这些看起来很方便,但同时也给安全问题敞开了大门。

更糟糕的是,大家对android app了解的还不够。通常大家只会觉得电脑会中病毒,手机病毒可能很少。

当下移动端数量远超pc端,病毒数量不亚于pc上,并且更具传播性。

来源:freebuf.com 2018-07-26 17:17:22 by: 四维创智4DOGS

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论