软件免费像是一种潮流,收费软件生存空间变小,只能变向获利。


于是.....


app加入信息搜集,用户行为收集,植入广告,留后门。

为了利益,修改带资金的app,窃取用户资金。

app加入挖矿功能,挖黑金。

利用第三方sdk接口收集用户信息。

app中插入广告链接。

app中植入木马。

利用用户手机发动ddos攻击。

伪装成官方应用......


我们了解的仅仅是新闻上所报出来的,还有许多暗流不为人知。四维创智作为老牌移动应用安全检测厂商,总结以下几点安全须知,供广大Android用户参考。



1.不安装非官方应用


非官方apk可能被植入木马。


Apk反编译植入木马,利用漏洞系统提权获取手机所有操控权。


毁轮子的成本肯定比造轮子的成本低,apk安全也是一样,目前国内99%apk都是能二次重打包,可任意修改apk,加入新的功能。甚至可以直接复用当前apk包中任意功能。


比如某x信中,只需要将这段代码注释掉,检测更新功能就去掉。

1.png


攻击者可在应用中加入远程执行功能,攻击者可以远程执行应用中的命令,比如远程列举vx的目录。

2.png


某用户在网上搜索自动抢红包软件,下载被植入木马的vx,安装到手机。


某用户在网上搜索跳一跳外挂,不知道里面其实已经植入木马。


我这有自动抢红包的支付宝。下载安装,登录支付宝。


…………钱转走了,显示金额不变。640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1



手机连上电脑,某pc端软件提示安装某apk.,界面和某数字公司一样。用户不毫不犹豫安装了…………。


总之一句话,不安装不可信的apk,天下没有免费的午餐,诱人的功能都是糖衣炮弹。

不是有杀毒软件吗……?640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1


杀毒软件没有root权限是不能对apk内部数据访问的,可是木马和应用已经在一起,虽然多数android手机都能root,可是你真的放心root吗?


没有root的手机已经提示安装一堆送应用,有root权限,直接静默安装到系统中……。



2.确保上网环境安全


通过流量劫持实施http劫持。


大家知道Fillder burpsuite可以抓取http,https的包,并修改返回的结果。


下图为某银行登录时抓取的登录信息:

3.png


不安全http可能遭受流量劫持,并替换流量。比如,某应用更新,更新时被流量劫持,apk更新后变成木马,实施此攻击只需要攻击者与受害者在同一网段,比如在某咖啡店上网。


在公共不安全环境上网时,app访问http域名可能遭到劫持,截取用户信息。


更严重的是伪消更新消息,伪装成提示app更新,用户如果不在意安装了带木马的应用……危害巨大。



3.随时保持系统为最新版本

 

640?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1       

这是利用堆溢出的vmvare虚拟机逃逸漏洞,发生在低版本的vmvare中,如果用户不升级软件,使用虚拟机过程中可能对真机造成危害。


Android系统也是一样,随着android热度不断攀升,每隔一段时间Android系统都会报出漏洞,如果用户没有及时升级系统版本,可能受到安全威胁。


不完全统计,仅2017年android系统漏洞个数上报达到500以上,这里小编认为保守估计,其实远远超过这个数。


最新版本 

4.应用升级为最新版本


应用程序更新不只是功能更新,可能是重大的bug修复。


2017年的应用克隆漏洞利用webview域控不严谨,窃取应用数据,威胁支付安全,身份安全。


当app场商得到此消息都会第一时间修复问题,更新新版本可以规避这种类似风险。



5.看管好自己的手机


手机长时间离身,手机系统软件可能被替换。

手机被root,替换应用安装包,植入木马。

应用被替换,app数据被导出,可能造成财产损失。



当下移动市场,android手机五花八门。带木马行为的app能在google play上存活两个月,然而我们上不了google play,这就安全了?



互联网上可以下载自动加抢红包app,可以随意修改手机系统刷机,这些看起来很方便,但同时也给安全问题敞开了大门。


更糟糕的是,大家对android app了解的还不够。通常大家只会觉得电脑会中病毒,手机病毒可能很少。


当下移动端数量远超pc端,病毒数量不亚于pc上,并且更具传播性。