您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
业界专题 正文
发私信给龙仔
发送

0

Android也有棱镜门?

本文作者:龙仔 2013-07-05 16:34
导语:身处在这个大数据时代,我们已经习惯越来越多的隐私被泄露了。特别是在中国,大部分用户对个人隐私是不重视的,于是,我们的信息不断被买卖。还分阶级算钱,有些人的个人信息只值几分钱,有的值几毛钱,而一些高阶级人士,最多也就值个十几块。我们的个人隐私被各个行业出卖,运营

身处在这个大数据时代,我们已经习惯越来越多的隐私被泄露了。特别是在中国,大部分用户对个人隐私是不重视的,于是,我们的信息不断被买卖。还分阶级算钱,有些人的个人信息只值几分钱,有的值几毛钱,而一些高阶级人士,最多也就值个十几块。

我们的个人隐私被各个行业出卖,运营商、银行、酒店,以及部分网站,这些信息甚至在X宝就能买到。随着步入大数据时代,这几年不断爆出关于个人隐私的事件。

在今年的315,央视就曝光了部分公司通过追踪用户cookie、分析邮件内容和收集用户隐私,部分安卓系统手机应用软件严重窃取用户资料等各种黑幕,不过这些都是老调重弹了,对于业内人士而言,这些早就不是什么新鲜事。但对于普通用户来说,这些事情却是第一次听到。

除了315,还有就是闹得沸沸扬扬的棱镜门事件:美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划,始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。

这件事情被曝光之后,全球哗然,这不禁让我们想起了1998年的黑色喜剧《楚门的世界》,这部电影向我们展现了一个平凡的小人物是怎样在自己毫不知情的情况下被监视和制造成闻名的电视明星,却完全被剥夺了自由、隐私乃至尊严,成为大众娱乐工业的牺牲品。

在大数据时代,我们都是赤裸裸的,目前除了大脑内的想法还无法监视之外,我们所做的一切事情,都有迹可循,也许在不久的将来,就连我们脑里的想法,都可以知道得一清二楚。这实在令人感到可怕。

就在日前,Bluebox Security 实验室一个团队的安全研究人员发现Android有一个已经存在四年的漏洞,黑客无需破坏用于认证的加密签名便能够修改一款应用的APK。换句话说,恶意软件将可以允许黑客远程获取受感染设备的信息并控制其功能,比如通话和信息等等,这些全都不会被设备用户、谷歌或是应用开发者注意。

这个漏洞可以追溯到Android 1.6,也就是四年前。

这里引用顺子在知乎上的一段解释:

要理解这种做法带来的危害性,首先要大致了解Android的签名工作机制:

  • 每个应用都必须签名
  • 应用可以被不同的签名文件签名(如果有源代码或者反编译后重新编译)
  • 同一个应用如果签名不同则不能覆盖安装

在之前,一些恶意开发者会采用反编译重新编译的方法来给各种应用夹带私货然后偷偷上传到各个渠道等着小白鼠自己上钩,比如我反编译个QQ,加了个广告,忽悠到人装了……从此你的手机就各种弹广告你还不知道是哪个软件干的……起码普通用户是不会知道了,除非挨个儿卸载尝试。

但是这种做法有一个弊端(对于恶意开发者而言),恶意开发者一定拿不到QQ官方的签名文件,于是只能用自己的签名文件签名……然后用户如果之前安装过官方版本的QQ就会发现“签名不一致”的提示,各大应用市场也可以通过这种办法来鉴别(比如某荚提供的洗白白功能其实就是在对比签名),虽然还是会有人中招,但是也算是有应对之法。

如果此文说的漏洞确实存在,意味着这些恶意开发者们可以在不破坏原有官方签名的情况下夹带私货……意味着将极大提高识别难度,那么就会有更多的人中招。

如何避免危害:只从可信赖的安全的渠道下载应用,比如Google Play,尽量避免通过论坛下载应用,各种手机论坛应该是恶意应用的相对重灾区,第三方市场尚有可能通过特殊的审核机制尽量避免未知来源的恶意应用(不完全),论坛基本是无事前审核的……至多在被举报以后删帖。

如果这个漏洞真的允许黑客在不破坏原来的签名下,还能自由修改里面的代码的话,那就很恐怖了。这个漏洞还是已经存在四年了。

由于最近都在讨论棱镜门事件,如果我们将Android的这个漏洞和棱镜门事件串联一起的话,那事件可能就变得不太简单了。棱镜门事件爆发之后,有媒体指出,微软在每发现一个漏洞后,都会主动将这个漏洞告知美国,然后美国在这个漏洞补丁出来之前,就通过这个漏洞开始攻击目标电脑,然后盗取信息。

如果这个漏洞是谷歌故意设下的后门,那知道这个后门的黑客,就可以随意修改全球各地,不同地区的主流应用,然后盗取信息。这些行为几乎不被发现,因为签名完全一样。

目前安卓手机已经占领了大部分市场,安全性不高,恶意软件泛滥至极,不管这次Android漏洞是不是棱镜门,但从这个漏洞我们可以得知,所谓家贼难防,监视用户信息不一定要从网络入手,从手机应用入手会更容易,且不易被发现,因为大部分人都是小白。

前一段时间,也爆出了硬件病毒的事件,可以从充电器里植入芯片,然后攻陷手机。随着时代的发展,我们只会越来越赤裸裸,所谓的安全只会是一种信任。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情

编辑

此前名为“莫须有”,现在更加关注硬件生态和业界动态,有何指教可邮件我。370610948@qq.com;欢迎加我微信聊。微信号:chibops
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说