国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 應(yīng)用案例 >

“不可能被黑的”Android手機(jī)卻輕松被黑

時(shí)間:2011-05-02 17:17來源: 點(diǎn)擊:
在本周召開的黑帽大會(huì)上,安全研究人員的演示表明,一度曾被認(rèn)為是不可能被黑的Android手機(jī)也被黑了。
Tags手機(jī)安全(75)Android(84)  

  在本周召開的黑帽大會(huì)上,安全研究人員的演示表明,一度曾被認(rèn)為是不可能被黑的手機(jī)也被黑了。

  演示表明,隱藏在一款壁紙軟件中的可疑代碼能夠從被感染的上收集各種個(gè)人信息,并將這些信息發(fā)送給一家據(jù)說在中國的網(wǎng)站。除此之外,來自Lookout移動(dòng)安全公司的研究人員還找到了一種可以徹底控制Android手機(jī)的方法,這些手機(jī)甚至包括由主要的運(yùn)營商主推的各種頂級手機(jī)。

  Lookout的CEO John Herring稱,已被下載數(shù)百萬次的Jackeey墻紙應(yīng)用可收集手機(jī)中的電話號碼本、用戶身份信息,以及可編程的語音郵箱號碼等。

  在另一個(gè)演示中,研究人員稱,運(yùn)營商(如Sprint和Verizon)主推的一些Android手機(jī)可通過攻擊Android底層系統(tǒng)中的已知漏洞而被完全控制。Lookout移動(dòng)安全公司的研究人員Anthony Lineberry說,“利用這些漏洞,你可以從根上空乃至該手機(jī),讓它做你想要它做的任何事情?!?/P>

  Lineberry稱,Android手機(jī)在安全方面的聲望可能是被夸大了。“雖說Android在前不久的pwn2own黑客大賽上得以幸免,但這并不表明它就是安全的?!?/P>

  通過用戶從Android應(yīng)用商店下載或購買的Android應(yīng)用來分發(fā)惡意軟件,其最佳的方式就是利用所謂的CVE-2009 1185漏洞。安裝這些設(shè)了陷阱的應(yīng)用就能夠?qū)Ρ桓腥镜氖謾C(jī)進(jìn)行根控制,Lineberry說?!案贚inux語境中就是一種無所不能的主宰模式。一旦你擁有了根,那你就擁有了系統(tǒng)的特權(quán)?!?/P>

  CVE-2009 1185漏洞被發(fā)現(xiàn)已有一年多時(shí)間,而且發(fā)布過補(bǔ)丁,但是迄今為止,很多無線運(yùn)營商卻并沒有分發(fā)過這個(gè)補(bǔ)丁。Lookout實(shí)驗(yàn)室已經(jīng)成功地利用根控制手段控制了EVO 4G(Sprint)、Droid X(Verizon)、Droid Incredible(Verizon)以及老款的G1和Hero等手機(jī),Lineberry說。

  但是根據(jù)Lookout的另一位研究人員Tim Wyatt的說法,要想執(zhí)行由Kackeey壁紙應(yīng)用所攜帶的攻擊類型,根控制并非必須。為了使用手機(jī)上的一些功能,有些應(yīng)用需要獲得一些許可授權(quán),而這些授權(quán)是可以被利用的。舉個(gè)例子,某個(gè)應(yīng)用會(huì)告訴客戶,要想查找離你最近的餐館,就需要訪問手機(jī)的功能等等。

  在銷售這些應(yīng)用時(shí),開發(fā)者必須列出所有該應(yīng)用運(yùn)行時(shí)所需要的許可授權(quán),而客戶則必須在允許了這些授權(quán)之后有能力注銷這些授權(quán)。如果某個(gè)發(fā)送短信息的應(yīng)用要求接入的授權(quán),那它就很可疑,客戶或許就應(yīng)該取消購買該應(yīng)用。

  但是有些授權(quán)聽上去似乎是無害的,Wyatt說,客戶可能并不了解諸如“導(dǎo)入Android日志”的授權(quán)是什么意思,可能會(huì)以為這沒什么大礙,但是日志卻可以披露諸如瀏覽歷史、密碼、手機(jī)號碼以及其他大量的個(gè)人信息。

  帶互聯(lián)網(wǎng)許可授權(quán)要求的惡意應(yīng)用可能會(huì)在后臺(tái)悄悄發(fā)送數(shù)據(jù)。

  因此Lineberry建議,用戶防范此類惡意應(yīng)用的最好辦法就是在購買時(shí)要十分小心,一旦發(fā)現(xiàn)有任何覺得可疑的地方,就不要下載。

  Lookout公司還進(jìn)行了一項(xiàng)被稱作應(yīng)用基因的項(xiàng)目研究,以檢查Android和應(yīng)用所要求的許可授權(quán),以及利用這些授權(quán)可能進(jìn)行何種可疑行為。一個(gè)應(yīng)用可以合法地使用某些授權(quán),但是在手中,合法使用也可能引來傷害。

  Android中的授權(quán)系統(tǒng)允許應(yīng)用去利用其他的資源,所以如果某個(gè)應(yīng)用未經(jīng)授權(quán)便訪問互聯(lián)網(wǎng),那它就有可能是要使用網(wǎng)上的某個(gè)應(yīng)用,從而利用互聯(lián)網(wǎng)進(jìn)行可疑活動(dòng)。

------分隔線----------------------------

推薦內(nèi)容