IT龍門陣第179期：技術專場之Android安全現(xiàn)狀

    【TechWeb報道】11月28日消息，IT龍門陣技術專場之Android安全現(xiàn)狀昨晚舉行，豌豆莢創(chuàng)始團隊成員丁吉昌和金山網(wǎng)絡資深反病毒研究員陳章群在現(xiàn)場分享了Android最新的安全動態(tài)。

廣告其實也是安全的一部分

    今年，金山網(wǎng)絡“手機毒霸”產(chǎn)品曾推出新功能，攔截App應用內(nèi)所有廣告，直接威脅開發(fā)者基本生存權。隨即，多盟、觸控科技等19家App開發(fā)商和廣告代理商發(fā)布聲明要求其更改手機毒霸軟件。此事一時引發(fā)業(yè)界討論。

    對于手機廣告，丁吉昌認為，Android手機用戶都知道，除了傳統(tǒng)定義上的安全，廣告是一個很大的問題。而廣告其實也是安全的一部分。當然這個也是開發(fā)者賴以生存的事情。

    而對于豌豆莢而言，會對廣告進行安全檢測，然后進行分級處理，優(yōu)先推薦無廣告的應用。不會徹底屏蔽廣告。

    丁吉昌也舉例稱，減少廣告是對用戶負責。豌豆莢曾有一個叫“水果忍者中國天津爭霸”和“水果忍者”兩個應用。當時，兩款應用在排行榜分別排第四和第六，不過由于嵌入了通知欄廣告，兩周后這兩個應用在TOP10里就不見了，反而被另一個無廣告的水果忍者的高清版所替代。

    “用戶也很煩這種通知欄廣告，他們會自己挑那些沒有東西的，就慢慢的把它頂上去。”丁吉昌最后總結道。

短信漏洞其實有三種

    “Android短信漏洞大家可能只知道有一種，實際上在市面上比較多的就有三種情況。”金山網(wǎng)絡資深反病毒研究員陳章群在IT龍門陣現(xiàn)場表示。

    陳章群介紹稱，第一種Android短信漏洞就是直接使用收件箱，只需要申請寫權限和讀權限就可以實現(xiàn)。多數(shù)做移動開發(fā)的人員基本都知道這個漏洞。

    第二種是利用Android系統(tǒng)漏洞構造出來的一些短信。該漏洞需要去構造PDU(即，協(xié)議數(shù)據(jù)單元（Protocol Data Unit），是指對等層次之間傳遞的數(shù)據(jù)單位。)，不過整個安裝過程中是沒有申請任何跟短信有關的權限，但是它能夠?qū)崿F(xiàn)發(fā)送假消息。此外，這個漏洞可以根據(jù)用戶的聯(lián)系人，和聯(lián)系人給用戶發(fā)過什么信息，做相應的構造。

    而第三種漏洞與上一個很相似，唯一區(qū)別是前面漏洞需要自己去調(diào)系統(tǒng)服務，而這個漏洞不需要調(diào)系統(tǒng)服務，所有的操作都是正常的。(韋浦)