软件免费像是一种潮流,收费软件生存空间变小,只能变向获利。
于是…..
app加入信息搜集,用户行为收集,植入广告,留后门。
为了利益,修改带资金的app,窃取用户资金。
app加入挖矿功能,挖黑金。
利用第三方sdk接口收集用户信息。
app中插入广告链接。
app中植入木马。
利用用户手机发动ddos攻击。
伪装成官方应用……
我们了解的仅仅是新闻上所报出来的,还有许多暗流不为人知。四维创智作为老牌移动应用安全检测厂商,总结以下几点安全须知,供广大Android用户参考。
1.不安装非官方应用
非官方apk可能被植入木马。
Apk反编译植入木马,利用漏洞系统提权获取手机所有操控权。
毁轮子的成本肯定比造轮子的成本低,apk安全也是一样,目前国内99%apk都是能二次重打包,可任意修改apk,加入新的功能。甚至可以直接复用当前apk包中任意功能。
比如某x信中,只需要将这段代码注释掉,检测更新功能就去掉。
攻击者可在应用中加入远程执行功能,攻击者可以远程执行应用中的命令,比如远程列举vx的目录。
某用户在网上搜索自动抢红包软件,下载被植入木马的vx,安装到手机。
某用户在网上搜索跳一跳外挂,不知道里面其实已经植入木马。
我这有自动抢红包的支付宝。下载安装,登录支付宝。
…………钱转走了,显示金额不变。
手机连上电脑,某pc端软件提示安装某apk.,界面和某数字公司一样。用户不毫不犹豫安装了…………。
总之一句话,不安装不可信的apk,天下没有免费的午餐,诱人的功能都是糖衣炮弹。
不是有杀毒软件吗……?
杀毒软件没有root权限是不能对apk内部数据访问的,可是木马和应用已经在一起,虽然多数android手机都能root,可是你真的放心root吗?
没有root的手机已经提示安装一堆送应用,有root权限,直接静默安装到系统中……。
2.确保上网环境安全
通过流量劫持实施http劫持。
大家知道Fillder burpsuite可以抓取http,https的包,并修改返回的结果。
下图为某银行登录时抓取的登录信息:
不安全http可能遭受流量劫持,并替换流量。比如,某应用更新,更新时被流量劫持,apk更新后变成木马,实施此攻击只需要攻击者与受害者在同一网段,比如在某咖啡店上网。
在公共不安全环境上网时,app访问http域名可能遭到劫持,截取用户信息。
更严重的是伪消更新消息,伪装成提示app更新,用户如果不在意安装了带木马的应用……危害巨大。
3.随时保持系统为最新版本
这是利用堆溢出的vmvare虚拟机逃逸漏洞,发生在低版本的vmvare中,如果用户不升级软件,使用虚拟机过程中可能对真机造成危害。
Android系统也是一样,随着android热度不断攀升,每隔一段时间Android系统都会报出漏洞,如果用户没有及时升级系统版本,可能受到安全威胁。
不完全统计,仅2017年android系统漏洞个数上报达到500以上,这里小编认为保守估计,其实远远超过这个数。
最新版本
4.应用升级为最新版本
应用程序更新不只是功能更新,可能是重大的bug修复。
2017年的应用克隆漏洞利用webview域控不严谨,窃取应用数据,威胁支付安全,身份安全。
当app场商得到此消息都会第一时间修复问题,更新新版本可以规避这种类似风险。
5.看管好自己的手机
手机长时间离身,手机系统软件可能被替换。
手机被root,替换应用安装包,植入木马。
应用被替换,app数据被导出,可能造成财产损失。
当下移动市场,android手机五花八门。带木马行为的app能在google play上存活两个月,然而我们上不了google play,这就安全了?
互联网上可以下载自动加抢红包app,可以随意修改手机系统刷机,这些看起来很方便,但同时也给安全问题敞开了大门。
更糟糕的是,大家对android app了解的还不够。通常大家只会觉得电脑会中病毒,手机病毒可能很少。
当下移动端数量远超pc端,病毒数量不亚于pc上,并且更具传播性。