我们的信息为什么会被泄露?
昨天听一个金融口的记者讲她经历电话诈骗的经过,好在没有受骗,我们是当笑话听了,但也唏嘘不已,一惊骗子太专业还高科技,二叹生活斗智斗勇欢乐也惊险。
听完,我倒又想起在中国互联网大会上听到的关于手机系统安全的分析,前一天介绍了《黑寡妇怎样1分钟黑掉iPhone?》,其实还有一个关于Android系统的,也来分享下。
有几个诈骗情节,我们有的人可能遇到过,比如收到过从亲朋好友的电话发过来的借钱短信,或者你的个人信息、密码不知从什么渠道就泄露出去了。我们常常会骂说是电信运营商或者银行把我们的个人信息泄露了,在会上听完手机漏洞的讲解,我心想,也许有时候我们真的扣错屎盆子了。
先问大家一个问题,现在世界上有多少款Android手机?现学现卖一下,在会上听到的数据是超过一万款安卓机型,分布在20多个不同的版本中。怎么来的?是安卓厂商数目乘以每个厂商的型号数目,加上山寨机型号数目。大家都知道大多数安卓手机都由不同的手机厂商进行了深度定制。于是,问题就来了,研究发现厂商定制往往会引诱一些安全隐患,约70%的手机漏洞都是来自于厂商定制。都是什么漏洞呢?主要就是隐私泄露和权限泄露。引发的就是上面列举的典型问题。
定制和漏洞之间是什么关系呢?厂商定制手机,往往会内置应用。而平均80%的内置应用过渡申请权限,这就成为一个潜在的威胁,使得手机主要是两类漏洞,第一是隐私泄露,第二是权限泄露。
隐私泄露,比如无线网络密码泄露,用户所有在手机里面输入过的密码可以泄露出去。另外可以通过操作手机权限管理,比如可以删除短信、拦截短信以及拦截电话等。 其中,后台打电话,短信欺诈是比较常见的。还有就是好友可能在微信里面给你发送某些信息,你在点这个以后,实际上是一个恶意的网页,那么你在点这个恶意网页的时候,恶意病毒被你不知不觉下载了,它就对你进行系统提权,提权以后可以套取用户隐私,然后将你的用户名、密码、以及通信录和短消息获取走。
厂商定制引入漏洞的形式主要有两种:
一是引起短信欺诈漏洞。安装一个短信应用,安装应用的时候,这个应用不需要任何的权限,恶意攻击就有机可乘了,可以控制短信的内容,于是就可能造成两种伪造,第一种是伪造来自于银行的短信,第二种是伪造来自于家人和朋友的短信。
另外一个形式,静默安装,是利用后台下载安装应用,整个安装过程,并不需要机主来参与,厂商定制所引入,存在隐私泄露、好友信息以及消息记录泄露的问题,那么不仅仅是隐私泄露,还有权限泄露,也就是说,它会通过这个权限泄露,会有后台短信,短信欺诈,后台电话,并且会修改应用受权。
为什么不能马上很快补救呢?因为手机定制的流程大致是这样,首先手机厂商会对安卓的原始代码进行整合,这些代码合在一块,就会衍生出不同的安卓代码;然后,手机芯片厂商将驱动提供给不同的厂商,手机厂商拿到驱动以后会将它放到自己所推的手机中去。如果芯片驱动有漏洞的话,那么它将影响这个市面上所有的采用这个芯片的手机。这种碎片化的定制会师更新比较困难,因为从发布安卓代码到厂商发布升级包大概有六个月的时间。这个过程中有些厂商可能会被收购等等,就不会再推出相应的版本,就导致这些手机还停留在过去的版本。
定制对于安全的影响还是比较大的,从好的方面来讲,定制确实可以带来很多的优点,比如说新的安全功能,权限管理,隐私空间,做一些更好的用户体验,并且可以独立修复原生代码的漏洞。但是同时我们也发现定制有比较大的缺点,这个缺点就是厂商的定制可能会带来新的安全隐患。
那手机用户可以做什么呢?就是使用权限管理,主动的去赋予一些权限或者是回收一些权限,那么我们可以通过修改权限管理功能,把它完全的给去掉。
在市值减少10亿美元之后,黑莓开始在美国销售无锁版智能手机
就在T-Mobile宣布不再销售黑莓手机之后,黑莓马上就做出了回应,以填补T-Mobile留下的空白。黑莓决定,开始在自己的网页上销售无锁版黑莓Q10和Z10两款智能手机,价格分别为549美元和449美元。 这样的价格也许看上去并不算便宜,但是相比苹果、三星、索尼和HT [详细]
OpenXLive装机量突破1000万
WindowsPhone上第一个第三方游戏社交平台OpenXLive宣布装机量突破1000万。 OpenXLive是 北京支点联游科技有限公司开发,主要业务是 智能手机和其他移动设备的游戏社交平台。 从2010年底上线,到2013年4月13日达到了500万装机量,耗时近540天,而从500万到100 [详细]
eBay旗下PayPal斥资8亿美元收购移动支付服务Braintree
eBay旗下PayPal斥资8亿美元现金,收购了位于芝加哥的移动支付企业Braintree。我们早前曾经报道过Braintree正在寻找下家,Square、PayPal等企业都与该公司就收购进行了接洽。 eBay总裁兼CEO John Donahoe在一份声明中表示:Braintree十分适合PayPal。Braintre [详细]
一家搞情报搜集的公司,融资1.96亿美元
近日有消息称数据挖掘分析公司Palantir完成了价值1.96亿美元的融资,并向美国证券交易委员会SEC提交了文件。 这家公司并不经常出现在媒体的报道中,因为它主要为美国的政府部门和医药公司,做高度敏感的数据分析。之前就有媒体称,Palantir会进行大额的融资 [详细]