其實我本來是打算寫另一篇稿子的,但是開的坑太大,deadline又很緊迫。
更重要的是,文章宣揚的內容我自己都很難以身作則,所以乾脆就換乙個主題寫。
android是由google公司開發的乙個移動作業系統,應用很廣泛^
,擁有眾多定製版本^
。 基本上智慧型手機除了iphone使用ios系統外,
絕大部分都是android系統或者是改版android系統。
樹大招風,android系統自然也是眾多黑客的目標,因此我們要多加防範。
謹慎選擇應用市場
留意應用請求的許可權
非專業人士不要觸碰專業設定
不要亂掃碼不要亂掃碼不要亂掃碼
小心駛得萬年船
從android 6.0 (marshmallow)開始,android引進了類似與ios的許可權管理系統,獲得了大量好評。
這一系統也一直沿用到7.0 (nougat), 8.0 (oreo)當中,而且還在不斷完善。
但是我們仍然要留意許可權請求,如果乙個軟體請求了過於離譜的許可權的話,你就需要仔細考慮這個軟體是不是惡意軟體了。
root一度十分流行,因為獲取了root許可權後就可以解除安裝預裝軟體、自定義主題等等。android當中的root和windows當中的administrator一樣都是管理員賬戶,權力很大,風險更大。
乙個程式在一台獲取了root許可權的手機上可以請求root許可權,之後就可以訪問核心敏感資料,破壞系統,把自己安裝成為系統軟體不得解除安裝。我在碼字的時候背上都感覺到了一股涼意。
總之,除非你很清楚你要如何使用root許可權、監管好這個許可權,千萬不要root。
順便一提,國家規定非核心功能預裝軟體必須可以被刪除;android也引進了原生的主題引擎;大多數廠商都規定手機一旦root就失去保修。所以,你還會去root嗎?
另外乙個比較專業的設定就是「開發者選項」。這個選項在設定當中被隱藏了,需要人為操作解鎖。在開發者選項中有乙個「usb除錯」的選項很關鍵,這也是乙個潘多拉盒子。
一方面乙個開發者要開發程式並且在手機上調試執行,必須開啟它;但是adb也可以用來安裝軟體。
惡意軟體可以先感染電腦,再通過adb靜默在手機上安裝東西,使用者沒有提示也沒有干預。
除非你真的需要開啟「開發者選項」,否則不要開啟它。
還有刷機。說白了這就是重灌系統。如果這個系統本身就很有問題,那麼這個手機不可能安全。^
輔助功能和輸入法也可以暗藏殺機。它們是特殊的程式,其中輔助功能可以獲取螢幕上的所有內容,包括正在輸入的密碼;輸入法可以訪問使用者機密資料,也可以記錄你正在輸入的密碼。
但是要啟用它們需要使用者明確許可,所以請擦亮火眼金睛。
最後介紹裝置管理器。它的許可權很高,它可以改變鎖屏密碼、抹去一切資料等很危險的操作。
開啟裝置管理器一定需要使用者明確同意確認,可是很多人就是不明情況稀里糊塗地開啟了惡意的裝置管理器,造成了巨大損失。^
防毒軟體是否安裝一直都是乙個棘手的問題。防毒軟體為了執行安全防衛功能必定會請求很多許可權,甚至有一些敏感許可權。
這其實是使用者對防毒軟體的信任,信任這個防毒軟體是可靠的,是不會作惡的。
但如果它本身就是內奸呢?在網路上已經有很多這個方面的討論,此處省略。
android, google play, google是美國google公司的註冊商標
windows是美國microsoft公司的註冊商標
Android系統與安全
android的設計與實現 卷1 深入理解android卷1 鄧凡平 深入理解android卷2 鄧凡平 深入理解android卷3 鄧凡平 android技術內幕.系統卷 android系統級深入開發.移植與除錯 android深度探索 卷2 系統應用源 分析與rom定製 撥雲見日 基於andro...
Android程式的安全系統
最近在移植android過程中遇到了android程式 apk 許可權的問題。最近也對這方面進行了一些了解,在此和大家分享。android框架是基於linux核心構建,所以android安全系統也是基於linux的安全架構建立的。在linux安全系統中,使用者和組起著重要的作用,linux中所有的資...
淺入淺出Android安全(中文版)
譯者 飛龍 協議 cc by nc sa 4.0 pdf版 附目錄 第一章 android 1.1 android 技術棧 1.2 android 一般安全說明 第二章 android linux 核心層安全 2.1 應用沙盒 2.2 linux 核心層上的許可權約束 第三章 android 本地使...