Re: [討論] android 的病毒是利用什麼散佈的??
※ 引述《stockapp (平安就是福)》之銘言:
: Android的漏洞並沒有很多。即使有,也要很多組合條件,才有辦法拿來做攻擊。
: 主要是開放特性,讓開發者可直接存取特別權限,所以就可以做很多事。
: (像是上面講的發簡訊,不過4.2之後已經有做控管,還要使用者手頭確認才會發出去)
應該是4.4 Kitkat才有控管簡訊。
不過也是有例外,就是Google自己的程式。
在原生4.4.4系統下,我將預設簡訊app設定為"簡訊",
照理說,其他app應該無法收發簡訊,除非我暫時修改預設簡訊app。
但是,當我安裝Google的Hangouts,第一次啟動會問你要不要發簡訊驗證電話號碼,
你如果選是,Hangouts自動就會完成簡訊發送及接收,
完全不需要修改預設簡訊app。
: Google有重視到這些問題,在每個app安裝前,會要求使用者確認權限,
其實我覺得Google在App權限的確認上,並沒有朝重視安全性的方向努力,
反而是不斷簡化權限確認步驟。
自從Play Store 4.8.19更新以後,
應該很多人發現下載app的權限說明變得很模稜兩可,
以往細項的權限描述,被歸類到只剩下幾個大的群組。
甚至在app更新時,如果新權限與舊權限被歸類在同一個群組,
則不用使用者同意新權限,即會更新app,
這是一個很明顯的漏洞。
一個程式在更新多次之後,可以不需要使用者同意,就取得比以前更多的權限
詳細可閱讀此來自xda的文章:
[Play Store Permissions Change Opens Door to Rogue Apps]
http://goo.gl/GXHBms
或來自趨勢科技
[Google Play更新改變了權限模式,但不是變得更好]
http://blog.trendmicro.com.tw/?p=8618
進而,連在Xposed都出現了修正此權限問題的模組:
[Fix the New Google Play Store Permissions System Using Xposed]
http://goo.gl/7ugHQq
: 但使用者如眾多版友所提,就是直接下一步。
: Google Play上,Google也是持續有在掃描,若發現是惡意程式也很快下架。
: 主要就是不要輕易安裝非Google Play的,可以降低中獎機率很多。
我認為Google目前對app的控管,比較偏向是對開發者有利而非使用者,
事實上,因為一般使用者無法個別控制app的權限,
如果你不滿某app為何要某個權限時,你只能不爽不要用 (除非有root)
不然多數人為了要盡快使用某app的功能,可能也只好按下同意,
進而養成很多人輕易按[下一步]的習慣也是無可厚非...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.119.212
※ 文章網址: http://www.ptt.cc/bbs/Android/M.1412604717.A.7F9.html
→
10/06 22:22, , 1F
10/06 22:22, 1F
→
10/06 22:22, , 2F
10/06 22:22, 2F
→
10/06 22:45, , 3F
10/06 22:45, 3F
→
10/06 22:45, , 4F
10/06 22:45, 4F
我可能理解得不是很完整,
但我想表達的意思是,我覺得4.4的控管簡訊依然不完備,
Hangouts不應可以跳過Kitkat中的SmsManager,在非預設簡訊app的情況下收發簡訊。
現在講的是簡訊控管,與http無關。
簡訊可以流出個資、傳播木馬及簡訊費用問題,都是重要的安全性問題。
→
10/06 22:49, , 5F
10/06 22:49, 5F
→
10/06 22:50, , 6F
10/06 22:50, 6F
是啊。
但Google對Play Store的控管相對iOS放鬆很多。
在Google不管,使用者又不能選的情況下,開發者過度索取權限的情形很普遍
→
10/06 22:51, , 7F
10/06 22:51, 7F
→
10/06 22:52, , 8F
10/06 22:52, 8F
→
10/06 22:53, , 9F
10/06 22:53, 9F
越獄或者root這種本來就是自己決定要承擔風險的,不能算在討論之內。
我講的是一般使用者會遇到的情況。
總而言之,
Android使用者必須自行一一檢視權限,
才能確保你下的app不會有預期之外的行為,OS本身提供的保護相當有限。
這有兩個問題:
1. 判斷權限本身就不容易,因為你不會知道開發者是怎麼寫的。
2. 如本文前述,使用者在Play商店只能知道權限的群組,
無法知道具體的權限細項,更加讓使用者無從判斷起。
1+2的結果就是一般人根本懶得看權限,因為看了也沒用,
結果就是除非通通不要用,不然只能通通按同意了。
※ 編輯: scottnet (140.116.22.171), 10/07/2014 01:34:44
推
10/07 10:06, , 10F
10/07 10:06, 10F
推
10/07 10:09, , 11F
10/07 10:09, 11F
→
10/07 10:09, , 12F
10/07 10:09, 12F
→
10/07 21:09, , 13F
10/07 21:09, 13F
→
10/07 21:10, , 14F
10/07 21:10, 14F
→
10/08 00:04, , 15F
10/08 00:04, 15F
討論串 (同標題文章)