安卓漏洞(安卓系統(tǒng)漏洞是什么)

1.安卓系統(tǒng)漏洞是什么

1、android系統(tǒng)手機(jī)泄密 信息時(shí)代很嚴(yán)重 先從所有版本android系統(tǒng)的通病數(shù)起。

最讓用戶不恥的在于，近期美國(guó)《華爾街日?qǐng)?bào)》聘用兩位安全分析師發(fā)現(xiàn)，谷歌安卓系統(tǒng)手機(jī)和 蘋果iphone 手機(jī)會(huì)自動(dòng)收集用戶的行蹤信息，并將這些私人信息返回給兩家公司。調(diào)查發(fā)現(xiàn)，使用安卓系統(tǒng)的htc手機(jī)能每隔幾秒鐘自動(dòng)手機(jī)用戶的姓名、位置、所在地附近的無(wú)線網(wǎng)絡(luò)信號(hào)強(qiáng)度及一個(gè)特殊電話識(shí)別碼，并每小時(shí)多次將這些信息發(fā)送給谷歌。

2、不支持關(guān)機(jī)鬧鈴 與用戶需求嚴(yán)重背離 然后是所有玩家?guī)缀跻呀?jīng)習(xí)以為常的事情，谷歌系統(tǒng)的一千遍一萬(wàn)遍升級(jí)都與它無(wú)關(guān)，它就是不支持關(guān)機(jī)鬧鈴?？梢哉f(shuō)現(xiàn)在很多的android系統(tǒng)手機(jī)玩家，都是從塞班系統(tǒng)“叛變”過(guò)來(lái)的，包括小編本人。

其中又有多少人曾經(jīng)喜歡晚上睡覺關(guān)機(jī)的玩家，因?yàn)閍ndroid系統(tǒng)的這一缺點(diǎn)而大聲罵過(guò)街。 有會(huì)有人說(shuō)了，iphone4和微軟系統(tǒng)也都不支持關(guān)機(jī)鬧鈴呀。

沒(méi)錯(cuò)，但是塞班系統(tǒng)的手機(jī)支持，mtk芯片的手機(jī)支持、展訊芯片的手機(jī)，請(qǐng)問(wèn)你還有什么理由不支持！如果這條理由還不足以讓你清醒，那么，我再告訴你同樣基于android系統(tǒng)開發(fā)的 聯(lián)想樂(lè)phone 就支持！聯(lián)想可以搞定的事情，你谷歌為什么搞不定！是實(shí)力不濟(jì)還是壓根就沒(méi)有真正考慮過(guò)用戶需求？3、撥號(hào)后自動(dòng)掛斷電話 通話bug頻繁出現(xiàn) 手機(jī)的基本功能就是通訊工具，無(wú)論科技發(fā)展到多么隨心所欲的境界，這一點(diǎn)都是毋庸置疑的。但是android系統(tǒng)卻在最基本的通話功能上出了問(wèn)題。

很多論壇里的網(wǎng)友都反應(yīng)的一件事情就是，android系統(tǒng)手機(jī)在撥號(hào)通話時(shí)經(jīng)常遇見這樣的郁悶情況。撥號(hào)以后，電話尚未接通會(huì)被系統(tǒng)自動(dòng)掛斷。

而且，這絕不是某款android手機(jī)的問(wèn)題，而是很多android系統(tǒng)手機(jī)的通病。4、對(duì)硬件配置要求高 制造成本增加 近期各種高頻處理器，各種高ram內(nèi)存的手機(jī)頻現(xiàn)，為玩家奉獻(xiàn)了一場(chǎng)幾乎華麗的視覺大餐。

可以說(shuō)谷歌android系統(tǒng)在其中做了推波助瀾的效果，原因很簡(jiǎn)單，android系統(tǒng)的手機(jī)對(duì)硬件配置要求過(guò)高，廠商如果不推出高硬件標(biāo)準(zhǔn)的手機(jī)怎么在這個(gè)競(jìng)爭(zhēng)激烈的時(shí)代立足呢？不過(guò)，我們可以換個(gè)角度考慮一下，這些高配置的手機(jī)價(jià)錢怎么樣？如果你不是富二代，你爹不是李剛的話，你肯定不會(huì)淡定的。 盡管谷歌方面一再聲稱，android系統(tǒng)對(duì)手機(jī)硬件沒(méi)有明確的配置要求，對(duì)廠商使用什么樣規(guī)格的硬件配置只是提出建議。

但是，如果廠商不接受建議，采用的低配置的硬件，將會(huì)是什么后果？顯然易見，這款手機(jī)一定會(huì)在競(jìng)爭(zhēng)中被無(wú)情淘汰。我要舉例說(shuō)明一下，android系統(tǒng)手機(jī)的cpu主頻已經(jīng)達(dá)到1.2ghz主頻，甚至雙核1.2ghz主頻的手機(jī)也開始出現(xiàn)了。

但是塞班系統(tǒng)至今沒(méi)有出現(xiàn)過(guò)一款cpu主頻能夠達(dá)到1ghz主頻的手機(jī)。難道塞班手機(jī)真的比android系統(tǒng)手機(jī)落后那么多？目前塞班系統(tǒng)很多的手機(jī)處理器都只有600mhz，系統(tǒng)ram內(nèi)存128mb，但是運(yùn)行速度還是非常流暢的。

但是如果是一款android系統(tǒng)手機(jī)，配備了600mhz、128mb ram的硬件，運(yùn)行速度有多慢，我想用過(guò)的人都是十分清楚兩者之間的差距的。就象這位網(wǎng)友在論壇里說(shuō)的那樣，android系統(tǒng)手機(jī)的高配置、高硬件帶來(lái)的高成本最后都是轉(zhuǎn)嫁給消費(fèi)者的。

5、系統(tǒng)偷跑流量 流量流失情況驚人 按照谷歌方面的描述，android系統(tǒng)最大的優(yōu)勢(shì)在于與互聯(lián)網(wǎng)貼合緊密，使用android系統(tǒng)手機(jī)可以盡享移動(dòng)互聯(lián)網(wǎng)帶來(lái)的歡樂(lè)。但是，有沒(méi)有想過(guò)這種谷歌引以為豪的優(yōu)勢(shì)有一天會(huì)變成消費(fèi)者眼中的大敵。

查看一下網(wǎng)上的記錄，有多少人抱怨android系統(tǒng)手機(jī)費(fèi)流量，原來(lái)塞班時(shí)候30m玩一個(gè)月的時(shí)代已經(jīng)一去不復(fù)返了。 6、系統(tǒng)費(fèi)電嚴(yán)重 安卓手機(jī)續(xù)航不足 應(yīng)用程序?qū)崟r(shí)更新產(chǎn)生不僅僅是白白跑掉的網(wǎng)絡(luò)流量，還在于這些更新活動(dòng)也導(dǎo)致手機(jī)電量白白浪費(fèi)掉。

在各種手機(jī)論壇中，我們見到最多的帖子就是抱怨某款手機(jī)的續(xù)航能力不足。如果是一款兩款手機(jī)如此，說(shuō)明是手機(jī)本身的電源管理系統(tǒng)有缺陷，如果是絕大多數(shù)的安卓手機(jī)都這樣，我們只能把矛頭指向谷歌android系統(tǒng)本身。

7、死機(jī)現(xiàn)象頻現(xiàn) android系統(tǒng)普遍存在 android系統(tǒng)還有一個(gè)頻現(xiàn)的bug在于手機(jī)死機(jī)現(xiàn)象比較頻繁。而死機(jī)發(fā)生的環(huán)境也是多種多樣，有的是在運(yùn)行某款程序時(shí)突然死機(jī)，有的是上網(wǎng)期間突然死機(jī)，有的甚至是在待機(jī)狀態(tài)下也會(huì)發(fā)生死機(jī)現(xiàn)象。

盡管用戶反應(yīng)，死機(jī)現(xiàn)象發(fā)生的頻率不盡相同，但是幾乎所有的android手機(jī)用戶都遇到過(guò)死機(jī)現(xiàn)象。 由于android系統(tǒng)開放程度高，因此造成大量的手機(jī)廠商和軟件開放商涌入以圖得一杯美羹。

而由于google market的測(cè)試、審核機(jī)制又不是很完善，導(dǎo)致了很多并不很穩(wěn)定甚至?xí)?dǎo)致系統(tǒng)崩潰的軟件被發(fā)布出來(lái)。此外，由于系統(tǒng)過(guò)于開放，很多網(wǎng)友玩家自行制作了很多各種版本的rom，各種rom穩(wěn)定性，水平參差不齊也是手機(jī)死機(jī)的誘因之一。

此外，對(duì)于很多新入手智能手機(jī)的玩家來(lái)說(shuō)，各種rom也導(dǎo)致android系統(tǒng)版本眼花繚亂，使得他們顯然無(wú)法駕馭得了。8、系統(tǒng)“智商不高” 計(jì)算器不會(huì)計(jì)算 近日，在各大手機(jī)論壇和android社區(qū)都會(huì)發(fā)現(xiàn)一個(gè)令人匪夷所思的帖子，不少網(wǎng)友都紛紛表示android系統(tǒng)自帶的計(jì)算器爆出低級(jí)錯(cuò)誤，android手機(jī)內(nèi)置的計(jì)算器。

2.安卓有哪些安全漏洞

據(jù)悉，此次在安卓系統(tǒng)上發(fā)現(xiàn)的這些漏洞為一種被稱為“Pileup”的新型漏洞，“Pileup”為“通過(guò)升級(jí)而導(dǎo)致權(quán)限提升”的縮寫。由于這些“Pileup”型漏洞存在，一旦安卓系統(tǒng)進(jìn)行升級(jí)，將導(dǎo)致惡意代碼應(yīng)用的訪問(wèn)權(quán)限升級(jí)，而用戶對(duì)此卻毫不知情。

研究人員寫道，“每隔幾個(gè)月時(shí)間，谷歌都要發(fā)布安卓系統(tǒng)的更新，這將導(dǎo)致激活系統(tǒng)內(nèi)添加數(shù)萬(wàn)個(gè)新文件，或者一些文件被更換。而每款新應(yīng)用在安裝時(shí)都需要在自己的沙箱和系統(tǒng)特權(quán)內(nèi)進(jìn)行嚴(yán)格配置，從而不會(huì)對(duì)現(xiàn)有應(yīng)用和用戶數(shù)據(jù)構(gòu)成破壞。這一復(fù)雜的移動(dòng)更新邏輯程序，使得安卓系統(tǒng)存在了安全缺陷?！?/p>

研究人員聲稱，他們已經(jīng)在AndroidPackage管理服務(wù)（PMS）上發(fā)現(xiàn)了六種不同的Pileup漏洞，并證實(shí)，這些漏洞存在于所有的Android開源項(xiàng)目版本，影響到了來(lái)自不同制造商和運(yùn)營(yíng)商的3500多款定制版本的安卓手機(jī)。研究人員聲稱，這意味著全球有超過(guò)十億部安卓設(shè)備面臨Pileup漏洞攻擊危險(xiǎn)。 據(jù)悉，安全研究人員已向谷歌公司通報(bào)了所有這些安全漏洞，而且谷歌已完成其中一處漏洞的修復(fù)。

3.安卓系統(tǒng)爆出的漏洞,你補(bǔ)上了嗎

今天在cnbeta看到了一則新聞，國(guó)外研究機(jī)構(gòu)在安卓系統(tǒng)中發(fā)現(xiàn)了短信詐騙漏洞，這個(gè)漏洞涵蓋了當(dāng)下的所有安卓系統(tǒng)，從1。

6到4。1無(wú)一幸免，安卓系統(tǒng)的安全性一直就飽受外界的詬病，但是如此大規(guī)模的被爆出安全漏洞還是首次，并且這些研究者還說(shuō)，黑客們利用這些漏洞能夠輕松的從機(jī)油的手機(jī)中包括各種賬號(hào)密碼在內(nèi)的所有隱私信息，稍后我會(huì)貼出新聞鏈接，感興趣的機(jī)油可以去研究一下。

雖然新聞中提到的漏洞對(duì)咱們這些普通機(jī)油來(lái)說(shuō)顯得有點(diǎn)專業(yè)，但可以肯定的是，只要咱們意識(shí)到這個(gè)漏洞的存在并采取相應(yīng)的行動(dòng)，是完全可以避免這些漏洞被黑客利用的，引用一下研究者的話“警惕一切收到的文本信息”，防止一些惡意軟件會(huì)利用短信詐騙漏洞來(lái)造成收到短信的假象，甚至是偽造咱們手機(jī)通訊錄聯(lián)系人給咱們發(fā)短信的假象。 令人感到欣慰的是這些研究者正在跟google方面積極的聯(lián)系，希望他們的建議能夠引起google官方的重視，并且能夠及早的給咱們這些機(jī)油發(fā)送相關(guān)補(bǔ)丁。

不過(guò)從google的行事作風(fēng)來(lái)看，要是等著官方的補(bǔ)丁估計(jì)連黃花菜都涼了，所以在官方補(bǔ)丁發(fā)出之前，我想咱們應(yīng)該聽從一下研究者的話，為手機(jī)安裝一款殺毒軟件，對(duì)含有惡意插件的應(yīng)用軟件進(jìn)行強(qiáng)制清理和卸載，暫時(shí)讓殺毒軟件來(lái)?yè)?dān)當(dāng)填補(bǔ)系統(tǒng)漏洞的責(zé)任，從本人的玩機(jī)經(jīng)驗(yàn)來(lái)看，當(dāng)前的手機(jī)殺軟中能夠當(dāng)此重任的手機(jī)殺軟只有網(wǎng)秦安全，因?yàn)樗娴墓δ茏阋哉疹櫟绞謾C(jī)安全的各個(gè)方面，特別是惡意鏈接過(guò)濾和智能防騷擾系統(tǒng)的配合使用，可以攔截任何垃圾短信和帶有惡意鏈接的短信，并且網(wǎng)秦安全對(duì)含有惡意插件和惡意代碼的應(yīng)用軟件進(jìn)行深度的識(shí)別和清除，避免有軟件會(huì)利用安卓系統(tǒng)的短信漏洞來(lái)興風(fēng)作浪。

4.Android 應(yīng)用有哪些常見,常被利用的安全漏洞

首先，題主詢問(wèn)“Android 應(yīng)用”的安全漏洞，說(shuō)到 Android 應(yīng)用的安全漏洞，如果拋開系統(tǒng)設(shè)計(jì)問(wèn)題，其主要原因是開發(fā)過(guò)程當(dāng)中疏漏引起的。但其實(shí)也并不能把這些責(zé)任都怪在程序猿頭上。所以本答案也將會(huì)對(duì) Android 系統(tǒng)設(shè)計(jì)以及生態(tài)環(huán)境做一些闡述。（如果想了解 Android 惡意軟件的情況，那就需要另開題目了。）

1. 應(yīng)用反編譯

漏洞：APK 包非常容易被反編譯成可讀文件，稍加修改就能重新打包成新的 APK。

利用：軟件破解，內(nèi)購(gòu)破解，軟件邏輯修改，插入惡意代碼，替換廣告商 ID。

建議：使用 ProGuard 等工具混淆代碼，重要邏輯用 NDK 實(shí)現(xiàn)。

例子：反編譯重打包 FlappyBird，把廣告商 ID 換了，游戲改加插一段惡意代碼等等。

2. 數(shù)據(jù)的存儲(chǔ)與傳輸

漏洞：外部存儲(chǔ)（SD 卡）上的文件沒(méi)有權(quán)限管理，所有應(yīng)用都可讀可寫。開發(fā)者把敏感信息明文存在 SD 卡上，或者動(dòng)態(tài)加載的 payload 放在 SD 卡上。

利用：竊取敏感信息，篡改配置文件，修改 payload 邏輯并重打包。

建議：不要把敏感信息放在外部存儲(chǔ)上面；在動(dòng)態(tài)加載外部資源的時(shí)候驗(yàn)證文件完整性。

漏洞：使用全局可讀寫（MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE）的內(nèi)部存儲(chǔ)方式，或明文存儲(chǔ)敏感信息（用戶賬號(hào)密碼等）。

利用：全局讀寫敏感信息，或 root 后讀取明文信息。

建議：不適用全局可讀寫的內(nèi)部存儲(chǔ)方式，不明文存儲(chǔ)用戶賬號(hào)密碼。

3. 密碼泄露

漏洞：密碼明文存儲(chǔ)，傳輸。

利用：

root 后可讀寫內(nèi)部存儲(chǔ)。

SD 卡全局可讀寫。

公共 WiFi 抓包獲取賬號(hào)密碼。

建議：實(shí)用成熟的加密方案。不要把密碼明文存儲(chǔ)在 SD 卡上。

4. 組件暴露 （Activity, Service, Broadcast Receiver, Content Provider）

漏洞：

組件在被調(diào)用時(shí)未做驗(yàn)證。

在調(diào)用其他組件時(shí)未做驗(yàn)證。

利用：

調(diào)用暴露的組件，達(dá)到某種效果，獲取某些信息，構(gòu)造某些數(shù)據(jù)。（比如：調(diào)用暴露的組件發(fā)短信、微博等）。

監(jiān)聽暴露組件，讀取數(shù)據(jù)。

建議：驗(yàn)證輸入信息、驗(yàn)證組件調(diào)用等。android:exported 設(shè)置為 false。使用 android:protectionLevel="signature" 驗(yàn)證調(diào)用來(lái)源。

5. WebView

漏洞：

惡意 App 可以注入 JavaScript 代碼進(jìn)入 WebView 中的網(wǎng)頁(yè)，網(wǎng)頁(yè)未作驗(yàn)證。

惡意網(wǎng)頁(yè)可以執(zhí)行 JavaScript 反過(guò)來(lái)調(diào)用 App 中注冊(cè)過(guò)的方法，或者使用資源。

利用：

惡意程序嵌入 Web App，然后竊取用戶信息。

惡意網(wǎng)頁(yè)遠(yuǎn)程調(diào)用 App 代碼。更有甚者，通過(guò) Java Reflection 調(diào)用 Runtime 執(zhí)行任意代碼。

建議：不使用 WebView 中的 setJavaScriptEnabled(true)，或者使用時(shí)對(duì)輸入進(jìn)行驗(yàn)證。

6. 其他漏洞

ROOT 后的手機(jī)可以修改 App 的內(nèi)購(gòu)，或者安裝外掛 App 等。

Logcat 泄露用戶敏感信息。

惡意的廣告包。

利用 next Intent。

7. 總結(jié)

Android 應(yīng)用的漏洞大部分都是因?yàn)殚_發(fā)人員沒(méi)有對(duì)輸入信息做驗(yàn)證造成的，另外因?yàn)?Intent 這種特殊的機(jī)制，需要過(guò)濾外部的各種惡意行為。再加上 Android 應(yīng)用市場(chǎng)混亂，開發(fā)人員水平參差不齊。所以現(xiàn)在 Android 應(yīng)用的漏洞，惡意軟件，釣魚等還在不斷增多。再加上 root 對(duì)于 App 沙箱的破壞，Android 升級(jí)的限制。國(guó)內(nèi)的 Android 環(huán)境一片混亂，慘不忍睹。所以，如果想要保證你的應(yīng)用沒(méi)有安全漏洞，就要記住：永遠(yuǎn)不要相信外面的世界。