安卓漏洞(安卓系統漏洞是什么)

1.安卓系統漏洞是什么

1、android系統手機泄密 信息時(shí)代很?chē)乐?先從所有版本android系統的通病數起。

最讓用戶(hù)不恥的在于，近期美國《華爾街日報》聘用兩位安全分析師發(fā)現，谷歌安卓系統手機和 蘋(píng)果iphone 手機會(huì )自動(dòng)收集用戶(hù)的行蹤信息，并將這些私人信息返回給兩家公司。調查發(fā)現，使用安卓系統的htc手機能每隔幾秒鐘自動(dòng)手機用戶(hù)的姓名、位置、所在地附近的無(wú)線(xiàn)網(wǎng)絡(luò )信號強度及一個(gè)特殊電話(huà)識別碼，并每小時(shí)多次將這些信息發(fā)送給谷歌。

2、不支持關(guān)機鬧鈴 與用戶(hù)需求嚴重背離 然后是所有玩家幾乎已經(jīng)習以為常的事情，谷歌系統的一千遍一萬(wàn)遍升級都與它無(wú)關(guān)，它就是不支持關(guān)機鬧鈴。可以說(shuō)現在很多的android系統手機玩家，都是從塞班系統“叛變”過(guò)來(lái)的，包括小編本人。

其中又有多少人曾經(jīng)喜歡晚上睡覺(jué)關(guān)機的玩家，因為android系統的這一缺點(diǎn)而大聲罵過(guò)街。 有會(huì )有人說(shuō)了，iphone4和微軟系統也都不支持關(guān)機鬧鈴呀。

沒(méi)錯，但是塞班系統的手機支持，mtk芯片的手機支持、展訊芯片的手機，請問(wèn)你還有什么理由不支持！如果這條理由還不足以讓你清醒，那么，我再告訴你同樣基于android系統開(kāi)發(fā)的 聯(lián)想樂(lè )phone 就支持！聯(lián)想可以搞定的事情，你谷歌為什么搞不定！是實(shí)力不濟還是壓根就沒(méi)有真正考慮過(guò)用戶(hù)需求？3、撥號后自動(dòng)掛斷電話(huà) 通話(huà)bug頻繁出現 手機的基本功能就是通訊工具，無(wú)論科技發(fā)展到多么隨心所欲的境界，這一點(diǎn)都是毋庸置疑的。但是android系統卻在最基本的通話(huà)功能上出了問(wèn)題。

很多論壇里的網(wǎng)友都反應的一件事情就是，android系統手機在撥號通話(huà)時(shí)經(jīng)常遇見(jiàn)這樣的郁悶情況。撥號以后，電話(huà)尚未接通會(huì )被系統自動(dòng)掛斷。

而且，這絕不是某款android手機的問(wèn)題，而是很多android系統手機的通病。4、對硬件配置要求高 制造成本增加 近期各種高頻處理器，各種高ram內存的手機頻現，為玩家奉獻了一場(chǎng)幾乎華麗的視覺(jué)大餐。

可以說(shuō)谷歌android系統在其中做了推波助瀾的效果，原因很簡(jiǎn)單，android系統的手機對硬件配置要求過(guò)高，廠(chǎng)商如果不推出高硬件標準的手機怎么在這個(gè)競爭激烈的時(shí)代立足呢？不過(guò)，我們可以換個(gè)角度考慮一下，這些高配置的手機價(jià)錢(qián)怎么樣？如果你不是富二代，你爹不是李剛的話(huà)，你肯定不會(huì )淡定的。 盡管谷歌方面一再聲稱(chēng)，android系統對手機硬件沒(méi)有明確的配置要求，對廠(chǎng)商使用什么樣規格的硬件配置只是提出建議。

但是，如果廠(chǎng)商不接受建議，采用的低配置的硬件，將會(huì )是什么后果？顯然易見(jiàn)，這款手機一定會(huì )在競爭中被無(wú)情淘汰。我要舉例說(shuō)明一下，android系統手機的cpu主頻已經(jīng)達到1.2ghz主頻，甚至雙核1.2ghz主頻的手機也開(kāi)始出現了。

但是塞班系統至今沒(méi)有出現過(guò)一款cpu主頻能夠達到1ghz主頻的手機。難道塞班手機真的比android系統手機落后那么多？目前塞班系統很多的手機處理器都只有600mhz，系統ram內存128mb，但是運行速度還是非常流暢的。

但是如果是一款android系統手機，配備了600mhz、128mb ram的硬件，運行速度有多慢，我想用過(guò)的人都是十分清楚兩者之間的差距的。就象這位網(wǎng)友在論壇里說(shuō)的那樣，android系統手機的高配置、高硬件帶來(lái)的高成本最后都是轉嫁給消費者的。

5、系統偷跑流量 流量流失情況驚人 按照谷歌方面的描述，android系統最大的優(yōu)勢在于與互聯(lián)網(wǎng)貼合緊密，使用android系統手機可以盡享移動(dòng)互聯(lián)網(wǎng)帶來(lái)的歡樂(lè )。但是，有沒(méi)有想過(guò)這種谷歌引以為豪的優(yōu)勢有一天會(huì )變成消費者眼中的大敵。

查看一下網(wǎng)上的記錄，有多少人抱怨android系統手機費流量，原來(lái)塞班時(shí)候30m玩一個(gè)月的時(shí)代已經(jīng)一去不復返了。 6、系統費電嚴重 安卓手機續航不足 應用程序實(shí)時(shí)更新產(chǎn)生不僅僅是白白跑掉的網(wǎng)絡(luò )流量，還在于這些更新活動(dòng)也導致手機電量白白浪費掉。

在各種手機論壇中，我們見(jiàn)到最多的帖子就是抱怨某款手機的續航能力不足。如果是一款兩款手機如此，說(shuō)明是手機本身的電源管理系統有缺陷，如果是絕大多數的安卓手機都這樣，我們只能把矛頭指向谷歌android系統本身。

7、死機現象頻現 android系統普遍存在 android系統還有一個(gè)頻現的bug在于手機死機現象比較頻繁。而死機發(fā)生的環(huán)境也是多種多樣，有的是在運行某款程序時(shí)突然死機，有的是上網(wǎng)期間突然死機，有的甚至是在待機狀態(tài)下也會(huì )發(fā)生死機現象。

盡管用戶(hù)反應，死機現象發(fā)生的頻率不盡相同，但是幾乎所有的android手機用戶(hù)都遇到過(guò)死機現象。 由于android系統開(kāi)放程度高，因此造成大量的手機廠(chǎng)商和軟件開(kāi)放商涌入以圖得一杯美羹。

而由于google market的測試、審核機制又不是很完善，導致了很多并不很穩定甚至會(huì )導致系統崩潰的軟件被發(fā)布出來(lái)。此外，由于系統過(guò)于開(kāi)放，很多網(wǎng)友玩家自行制作了很多各種版本的rom，各種rom穩定性，水平參差不齊也是手機死機的誘因之一。

此外，對于很多新入手智能手機的玩家來(lái)說(shuō)，各種rom也導致android系統版本眼花繚亂，使得他們顯然無(wú)法駕馭得了。8、系統“智商不高” 計算器不會(huì )計算 近日，在各大手機論壇和android社區都會(huì )發(fā)現一個(gè)令人匪夷所思的帖子，不少網(wǎng)友都紛紛表示android系統自帶的計算器爆出低級錯誤，android手機內置的計算器。

2.安卓有哪些安全漏洞

據悉，此次在安卓系統上發(fā)現的這些漏洞為一種被稱(chēng)為“Pileup”的新型漏洞，“Pileup”為“通過(guò)升級而導致權限提升”的縮寫(xiě)。由于這些“Pileup”型漏洞存在，一旦安卓系統進(jìn)行升級，將導致惡意代碼應用的訪(fǎng)問(wèn)權限升級，而用戶(hù)對此卻毫不知情。

研究人員寫(xiě)道，“每隔幾個(gè)月時(shí)間，谷歌都要發(fā)布安卓系統的更新，這將導致激活系統內添加數萬(wàn)個(gè)新文件，或者一些文件被更換。而每款新應用在安裝時(shí)都需要在自己的沙箱和系統特權內進(jìn)行嚴格配置，從而不會(huì )對現有應用和用戶(hù)數據構成破壞。這一復雜的移動(dòng)更新邏輯程序，使得安卓系統存在了安全缺陷。”

研究人員聲稱(chēng)，他們已經(jīng)在A(yíng)ndroidPackage管理服務(wù)（PMS）上發(fā)現了六種不同的Pileup漏洞，并證實(shí)，這些漏洞存在于所有的Android開(kāi)源項目版本，影響到了來(lái)自不同制造商和運營(yíng)商的3500多款定制版本的安卓手機。研究人員聲稱(chēng)，這意味著(zhù)全球有超過(guò)十億部安卓設備面臨Pileup漏洞攻擊危險。 據悉，安全研究人員已向谷歌公司通報了所有這些安全漏洞，而且谷歌已完成其中一處漏洞的修復。

3.安卓系統爆出的漏洞,你補上了嗎

今天在cnbeta看到了一則新聞，國外研究機構在安卓系統中發(fā)現了短信詐騙漏洞，這個(gè)漏洞涵蓋了當下的所有安卓系統，從1。

6到4。1無(wú)一幸免，安卓系統的安全性一直就飽受外界的詬病，但是如此大規模的被爆出安全漏洞還是首次，并且這些研究者還說(shuō)，黑客們利用這些漏洞能夠輕松的從機油的手機中包括各種賬號密碼在內的所有隱私信息，稍后我會(huì )貼出新聞鏈接，感興趣的機油可以去研究一下。

雖然新聞中提到的漏洞對咱們這些普通機油來(lái)說(shuō)顯得有點(diǎn)專(zhuān)業(yè)，但可以肯定的是，只要咱們意識到這個(gè)漏洞的存在并采取相應的行動(dòng)，是完全可以避免這些漏洞被黑客利用的，引用一下研究者的話(huà)“警惕一切收到的文本信息”，防止一些惡意軟件會(huì )利用短信詐騙漏洞來(lái)造成收到短信的假象，甚至是偽造咱們手機通訊錄聯(lián)系人給咱們發(fā)短信的假象。 令人感到欣慰的是這些研究者正在跟google方面積極的聯(lián)系，希望他們的建議能夠引起google官方的重視，并且能夠及早的給咱們這些機油發(fā)送相關(guān)補丁。

不過(guò)從google的行事作風(fēng)來(lái)看，要是等著(zhù)官方的補丁估計連黃花菜都涼了，所以在官方補丁發(fā)出之前，我想咱們應該聽(tīng)從一下研究者的話(huà)，為手機安裝一款殺毒軟件，對含有惡意插件的應用軟件進(jìn)行強制清理和卸載，暫時(shí)讓殺毒軟件來(lái)?yè)斕钛a系統漏洞的責任，從本人的玩機經(jīng)驗來(lái)看，當前的手機殺軟中能夠當此重任的手機殺軟只有網(wǎng)秦安全，因為他全面的功能足以照顧到手機安全的各個(gè)方面，特別是惡意鏈接過(guò)濾和智能防騷擾系統的配合使用，可以攔截任何垃圾短信和帶有惡意鏈接的短信，并且網(wǎng)秦安全對含有惡意插件和惡意代碼的應用軟件進(jìn)行深度的識別和清除，避免有軟件會(huì )利用安卓系統的短信漏洞來(lái)興風(fēng)作浪。

4.Android 應用有哪些常見(jiàn),常被利用的安全漏洞

首先，題主詢(xún)問(wèn)“Android 應用”的安全漏洞，說(shuō)到 Android 應用的安全漏洞，如果拋開(kāi)系統設計問(wèn)題，其主要原因是開(kāi)發(fā)過(guò)程當中疏漏引起的。但其實(shí)也并不能把這些責任都怪在程序猿頭上。所以本答案也將會(huì )對 Android 系統設計以及生態(tài)環(huán)境做一些闡述。（如果想了解 Android 惡意軟件的情況，那就需要另開(kāi)題目了。）

1. 應用反編譯

漏洞：APK 包非常容易被反編譯成可讀文件，稍加修改就能重新打包成新的 APK。

利用：軟件破解，內購破解，軟件邏輯修改，插入惡意代碼，替換廣告商 ID。

建議：使用 ProGuard 等工具混淆代碼，重要邏輯用 NDK 實(shí)現。

例子：反編譯重打包 FlappyBird，把廣告商 ID 換了，游戲改加插一段惡意代碼等等。

2. 數據的存儲與傳輸

漏洞：外部存儲（SD 卡）上的文件沒(méi)有權限管理，所有應用都可讀可寫(xiě)。開(kāi)發(fā)者把敏感信息明文存在 SD 卡上，或者動(dòng)態(tài)加載的 payload 放在 SD 卡上。

利用：竊取敏感信息，篡改配置文件，修改 payload 邏輯并重打包。

建議：不要把敏感信息放在外部存儲上面；在動(dòng)態(tài)加載外部資源的時(shí)候驗證文件完整性。

漏洞：使用全局可讀寫(xiě)（MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE）的內部存儲方式，或明文存儲敏感信息（用戶(hù)賬號密碼等）。

利用：全局讀寫(xiě)敏感信息，或 root 后讀取明文信息。

建議：不適用全局可讀寫(xiě)的內部存儲方式，不明文存儲用戶(hù)賬號密碼。

3. 密碼泄露

漏洞：密碼明文存儲，傳輸。

利用：

root 后可讀寫(xiě)內部存儲。

SD 卡全局可讀寫(xiě)。

公共 WiFi 抓包獲取賬號密碼。

建議：實(shí)用成熟的加密方案。不要把密碼明文存儲在 SD 卡上。

4. 組件暴露 （Activity, Service, Broadcast Receiver, Content Provider）

漏洞：

組件在被調用時(shí)未做驗證。

在調用其他組件時(shí)未做驗證。

利用：

調用暴露的組件，達到某種效果，獲取某些信息，構造某些數據。（比如：調用暴露的組件發(fā)短信、微博等）。

監聽(tīng)暴露組件，讀取數據。

建議：驗證輸入信息、驗證組件調用等。android:exported 設置為 false。使用 android:protectionLevel="signature" 驗證調用來(lái)源。

5. WebView

漏洞：

惡意 App 可以注入 JavaScript 代碼進(jìn)入 WebView 中的網(wǎng)頁(yè)，網(wǎng)頁(yè)未作驗證。

惡意網(wǎng)頁(yè)可以執行 JavaScript 反過(guò)來(lái)調用 App 中注冊過(guò)的方法，或者使用資源。

利用：

惡意程序嵌入 Web App，然后竊取用戶(hù)信息。

惡意網(wǎng)頁(yè)遠程調用 App 代碼。更有甚者，通過(guò) Java Reflection 調用 Runtime 執行任意代碼。

建議：不使用 WebView 中的 setJavaScriptEnabled(true)，或者使用時(shí)對輸入進(jìn)行驗證。

6. 其他漏洞

ROOT 后的手機可以修改 App 的內購，或者安裝外掛 App 等。

Logcat 泄露用戶(hù)敏感信息。

惡意的廣告包。

利用 next Intent。

7. 總結

Android 應用的漏洞大部分都是因為開(kāi)發(fā)人員沒(méi)有對輸入信息做驗證造成的，另外因為 Intent 這種特殊的機制，需要過(guò)濾外部的各種惡意行為。再加上 Android 應用市場(chǎng)混亂，開(kāi)發(fā)人員水平參差不齊。所以現在 Android 應用的漏洞，惡意軟件，釣魚(yú)等還在不斷增多。再加上 root 對于 App 沙箱的破壞，Android 升級的限制。國內的 Android 環(huán)境一片混亂，慘不忍睹。所以，如果想要保證你的應用沒(méi)有安全漏洞，就要記住：永遠不要相信外面的世界。