Android 上的「玩機」行為究竟會對安全性造成多大程度的損害?
其實我很早就在擔心這種事情,今天看到蘇女神的問題 銀行卡被人開通了快捷支付並被盜刷應當如何追回損失? - 安全 感覺有必要公開討論一下了。
因為之前見識過 Chrome 擴展的黑幕:某些無良公司惡意收購 Chrome 上受歡迎的擴展,然後更新到會加入推廣鏈接的版本,我本人曾經中招。同樣的事情發生在 Android 上是不難想像的。玩機行為包括但不限於: 也可以包括不玩機但是同樣有風險的行為:
- root 手機
- 刷入第三方 rom 鏡像
- xposed 框架
- 使用別人修改過的 apk(漢化/破解)
首先我知道這肯定是有很大風險的,但是不知道風險究竟大到什麼程度。比如刷機和 xposed 這種,會不會讓支付寶、網銀等 app 變得毫無安全性可言?root 授權管理軟體在多大程度上有效?
- 很多 app 會有的簡訊閱讀許可權
- 使用第三方輸入法輸入密碼
這是個信任問題。
1.root手機本身並不危險,危險的是讓惡意應用獲得了root許可權,特別是刷入root後出現的root許可權管理軟體,如果其不可靠那麼手機安全性幾乎降低為0。因此,選用什麼方式進行root和選擇什麼軟體來作為root許可權管理非常重要。謹慎考慮,從不使用國產的一鍵root工具,root後使用開源的superuser。
2.如果ROM中植入後門,那麼確實可能有危險性,因此ROM的選擇很關鍵,比如有名的項目CM,Mokee,Omni等等提供的官方版,因為他們都是開源的,安全與否不言自明。又比如小米用戶們熟知的秋大提供的rom。這個人受雇於小米負責做小米手機的第三方,安全性也應當是有保障的。3.xposed舊版本也是開源的。適用於ART的新版本尚未開源。4.破解APK的安全性無法保證。需要謹慎控制許可權。特別是root許可權。但總之,你總得相信點什麼,總得把信任交託出去。首先,蘇莉安是男的。
理論上,root 之後如果利用 Xprivacy 之類的工具對 Android Apps 限制,相當於對 Android 進行自己的一點定製,可以讓 Android 變得安全一些。
不過仍然不建議在自己有重要信息的手機/平板上 root,另外,由於 Android 的許可權控制是安裝時一刀切,沒有類似 Windows 的 UAC (UAC 是 Windows 安全的重要一環,不知道為什麼很多人要關。比如各種國產軟體不停得彈出來要管理員許可權,居然很多人是去怪 Windows 煩,這就相當於小區保安過來告你說有人偷你車你一刀就把保安殺了一樣) 在這種手機上盡量少裝國產軟體,關於市場,我現在唯一相信的市場就是 Google Play。
對 Android 比較了解的人,特別是開發者們應該知道,到了今天,特別是國內,Android 想要用得相對安全仍然是一件比較困難的事,我作為一個使用了若干年 Android 設備的人以及開發者,單從安全形度,不推薦普通用戶使用 Android 設備,可以用 WP 設備和 iOS 設備。我們界內有個專門針對這個安全的方法
我們把它叫做二奶root之後就給予了用戶在手機上近乎絕對的權力,但是對於權力的使用是一個問題。root本身是沒有危險的,就像樓上說的這是一個信任問題。同時包括使用別人破解的軟體,也是信任問題,用了就可能會有問題,總而言之,即使是變得危險也是使用者自身的問題。
分情況
刷入第三方鏡像不一定是root的,當然這樣的rom實在是太少了。
root後,如果仍注意許可權的管理,則一般人不會有太多漏洞造成的安全問題。root與否和在普通許可權授權方面造成的問題沒多大關係,不root,但是簡訊、通訊錄許可權亂開,照樣有問題。root後如果沒有對應的管理軟體(如superSU)那麼安全係數就等於零了,任何惡意軟體獲得了root許可權就等與你的信息、財產安全就收到了威脅xp框架也是與上面有些同樣的危險,不過root過程中一般不會造成什麼危險,但安裝xp框架就不一樣了,如果你選擇了錯誤的框架或與你手機系統不匹配的框架那就會出現「軟變磚」這種現象,你手機里的重要數據(比如公司文件什麼的)就會蕩然無存,所以沒有把握就不要弄xp框架,在弄之前也至少做好數據備份
自從 安卓 5.0 6.0 後安卓都有了 很大的保證 不用太過擔心 保護好重要的許可權就好了 雖然有些東西可以不彈窗 就抓一些信息 但都不重要
安裝的應用獲取到了發送簡訊許可權,不需要任何通知就可以刷走你的話費,聯通應用扣費
推薦閱讀:
※相比廠商自身力量、國家測評和專業安全公司,民間漏洞眾測的優勢主要體現在哪裡?但對其監管是否存在難點?
※如何看待世紀佳緣網站假借送禮名義索要烏雲白帽地址報警的行為?
※如何看待360補天漏洞響應平台做秀把美的的漏洞全部曝光的事情?
※QQ「你可能收到一條假消息」是如何實現的?
※加入電子科大的凝聚工作室是一種怎樣的體驗?
TAG:信息安全 | RootAndroid | XposedFramework |