Re: [情報] Android曝嚴重漏洞，Android O才能解決

看板MobileComm作者IloveBlack2 (我愛花媽花媽愛我)時間7年前 (2017/05/12 14:50)推噓31(32推 1噓 15→)

留言48則, 33人參與討論串3/4 (看更多)

在Andoroid SDK 22 (含)以前時，App的權限都是在最一開始安裝時整套授予的，要不你就安裝，然後同意授予此App所有權限；你不同意所有權限，那你就不要裝，掰。 Andoroid SDK 23 新增了 AppOpsManager，利用AppOp方式控管兩大一小類權限，兩大類為： - Normal permissions：安裝時直接授予。 - Dangerous Permissions：預設關閉，Apps開啟時可單一或多項詢問。一小類為： - Special Permissions：必須發送一個Intent，讓使用者自行至設定開啟。而這一小類目前只有String OPSTR_SYSTEM_ALERT_WINDOW (重疊圖層) 與String OPSTR_WRITE_SETTINGS (修改系統設定) Android 6.0.0 剛推出時，有兩個情況：一、App開發者把重疊圖層權限忘了或不知道要跟上，導致很多地方回傳Null，App就卡住或者崩潰。二、使用者每安裝一個需要圖層權限的App，就必須要至設定更改，很煩。所以6.0.1時，谷哥大神為了不給使用者帶來麻煩，在下載安裝時把SYSTEM_ALERT_WINDOW自動允許開啟了，就類似對Normal permissions的方式那樣。好，看到這邊你有沒有覺得這是個「漏洞」呢？在我個人認為，其實基本上算是個「隱藏風險」，而不算個「漏洞」。 CheckPoint前幾天指出的這件事，其實早在6.0.1出來後很多人就反映過，谷哥大神也認為這不是個漏洞，畢竟你從Google Play按下安裝時會跳出視窗，跟你說你安裝的這個App會使用甚麼權限，你自己要按下確定的呀，簡單來說這就是誘姦？反正使用者還是可以自己到設定去把特定App的權限關閉，所以7.0出來後，當然也不會因此而有改變。那有些人就會說啦：「可是CheckPoint訪問谷歌，谷歌說安卓8有針對這個問題改善耶！」我直接了當跟你說，沒有，這個問題沒有改，只是加了兩個東西進去。一、int TYPE_APPLICATION_OVERLAY：依然要請求SYSTEM_ALERT_WINDOW，所以根本沒差呀。二、Overlay Notification：在通知欄多出了「某某程式正在最上層顯示」。基本上比較有幫助的是第二點，因為以前你同意了重疊圖層的權限，他如果是透明的，你根本不知道他正在跑。安卓8之後，在通知欄跟你說誰正飄在上面，如果你不想看到也可以選擇隱藏。題外話：對於SYSTEM_ALERT_WINDOW其實最安全的是小米， MIUI在很早的時候就封殺SYSTEM_ALERT_WINDOW，有一陣子App收到很多使用者的問題回報，一看居然全都是小米手機。後來抽絲剝繭才發現重疊圖層直接被MIUI擋住， MIUI就這樣給你預設擋，阿也不跟你說擋了，沒半個人知道發生甚麼事。所以後來有很多人乾脆趁機直接改用Type_Toast，就是系統中有時候會出現在螢幕上一個小小的黑色橫條，因為在SDK 19後Toast也可以做到跟Alert_Window做到類似效果，只是接收其他觸控事件。好最後有點跑題了，簡單說結論：一、這在我認知不是個漏洞。二、如果你認為他是漏洞，就算安卓8也還是不會改。三、如果你認為他是漏洞，你自己就可以關掉補洞了。 -- 車禍實錄、各類訊息、影片翻譯、志工服務更多第一時間的第一手消息就觀看一百五粉絲團! https://www.facebook.com/YiBaiWu -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.227.42.20 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1494571816.A.C9C.html

推

rex1135

05/12 14:52, , 1^F

05/12 14:52, 1^F

※ 編輯: IloveBlack2 (103.227.42.20), 05/12/2017 14:54:52

推

BIGETC

05/12 14:56, , 2^F

05/12 14:56, 2^F

推

Kismeter

05/12 14:57, , 3^F