IT龍門陣第179期：技術(shù)專場(chǎng)之Android安全現(xiàn)狀

    【TechWeb報(bào)道】11月28日消息，IT龍門陣技術(shù)專場(chǎng)之Android安全現(xiàn)狀昨晚舉行，豌豆莢創(chuàng)始團(tuán)隊(duì)成員丁吉昌和金山網(wǎng)絡(luò)資深反病毒研究員陳章群在現(xiàn)場(chǎng)分享了Android最新的安全動(dòng)態(tài)。

廣告其實(shí)也是安全的一部分

    今年，金山網(wǎng)絡(luò)“手機(jī)毒霸”產(chǎn)品曾推出新功能，攔截App應(yīng)用內(nèi)所有廣告，直接威脅開(kāi)發(fā)者基本生存權(quán)。隨即，多盟、觸控科技等19家App開(kāi)發(fā)商和廣告代理商發(fā)布聲明要求其更改手機(jī)毒霸軟件。此事一時(shí)引發(fā)業(yè)界討論。

    對(duì)于手機(jī)廣告，丁吉昌認(rèn)為，Android手機(jī)用戶都知道，除了傳統(tǒng)定義上的安全，廣告是一個(gè)很大的問(wèn)題。而廣告其實(shí)也是安全的一部分。當(dāng)然這個(gè)也是開(kāi)發(fā)者賴以生存的事情。

    而對(duì)于豌豆莢而言，會(huì)對(duì)廣告進(jìn)行安全檢測(cè)，然后進(jìn)行分級(jí)處理，優(yōu)先推薦無(wú)廣告的應(yīng)用。不會(huì)徹底屏蔽廣告。

    丁吉昌也舉例稱，減少?gòu)V告是對(duì)用戶負(fù)責(zé)。豌豆莢曾有一個(gè)叫“水果忍者中國(guó)天津爭(zhēng)霸”和“水果忍者”兩個(gè)應(yīng)用。當(dāng)時(shí)，兩款應(yīng)用在排行榜分別排第四和第六，不過(guò)由于嵌入了通知欄廣告，兩周后這兩個(gè)應(yīng)用在TOP10里就不見(jiàn)了，反而被另一個(gè)無(wú)廣告的水果忍者的高清版所替代。

    “用戶也很煩這種通知欄廣告，他們會(huì)自己挑那些沒(méi)有東西的，就慢慢的把它頂上去。”丁吉昌最后總結(jié)道。

短信漏洞其實(shí)有三種

    “Android短信漏洞大家可能只知道有一種，實(shí)際上在市面上比較多的就有三種情況。”金山網(wǎng)絡(luò)資深反病毒研究員陳章群在IT龍門陣現(xiàn)場(chǎng)表示。

    陳章群介紹稱，第一種Android短信漏洞就是直接使用收件箱，只需要申請(qǐng)寫權(quán)限和讀權(quán)限就可以實(shí)現(xiàn)。多數(shù)做移動(dòng)開(kāi)發(fā)的人員基本都知道這個(gè)漏洞。

    第二種是利用Android系統(tǒng)漏洞構(gòu)造出來(lái)的一些短信。該漏洞需要去構(gòu)造PDU(即，協(xié)議數(shù)據(jù)單元（Protocol Data Unit），是指對(duì)等層次之間傳遞的數(shù)據(jù)單位。)，不過(guò)整個(gè)安裝過(guò)程中是沒(méi)有申請(qǐng)任何跟短信有關(guān)的權(quán)限，但是它能夠?qū)崿F(xiàn)發(fā)送假消息。此外，這個(gè)漏洞可以根據(jù)用戶的聯(lián)系人，和聯(lián)系人給用戶發(fā)過(guò)什么信息，做相應(yīng)的構(gòu)造。

    而第三種漏洞與上一個(gè)很相似，唯一區(qū)別是前面漏洞需要自己去調(diào)系統(tǒng)服務(wù)，而這個(gè)漏洞不需要調(diào)系統(tǒng)服務(wù)，所有的操作都是正常的。(韋浦)