-
-
[转载]那些APP身上出现的安全漏洞背后
-
发表于: 2015-9-15 16:38 1107
-
链接:http://www.chinaz.com/news/2015/0914/446477.shtml
时间:2015-09-14
来源:爆料者
近日,据相关媒体报道:即时通讯工具WhatsApp的网页版存在威胁漏洞,通过这一漏洞,黑客可以散布危险恶意程序来感染用户的电脑。由于,whatsApp用户的数量巨大,预计全国将有2亿用户可能受到该漏洞的威胁。
据称,WhatsApp上出现的安全漏洞很容易被黑客利用:黑客借助一个WhatsApp账号就可以轻而易举的将BAT档案发给以电子名片的名义发给用户,不明用户只要点开这个名片就会自动启动这个档案内的恶意程序。黑客通过这个恶意程序可以感染用户的电脑或是窃取用户的个人信息等。
安全漏洞 APP安全 APP病毒
虽然WhatsApp官方在第一时间就对漏洞进行了修复,但是据其方面透露,在V0.1.4881之前的所有版本已经受到漏洞影响。官方建议用户尽快更新最新的应用程序以免受到感染和损失。
APP安全隐患问题再次进入人们视线。
APP安全隐患
APP应用市场如此广阔,单是对于IOS 和android 这两大操作系统APP市场来说,用户涉及的面就很难估量,更何况还有其他的平台。
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
IT之家2014年的APP数量的调查数据
这还仅是2014年的数据,相信照着这个趋势,现在市场的APP恐怕应该更多。如此之大的APP数量,当安全隐患显现时,想必其影响也是巨大而深远的吧。
IOS
虽然苹果声称一直拥有自己的操作系统,安全性较强,但是在APP安全漏洞方面也未能幸免。
2014年,国外研究机构IOActive Labs的研究人员阿里尔·桑切斯就曾测试过苹果iOS平台上的40款移动银行App。结果显示这些APP几乎都未实施基本的安全保护措施,安全漏洞随时可能出现。
2015年07月,安全专家Vulnerability Lab的安全研究员Benjamin Kunz Mejri在苹果公司的App Store和iTunes发票系统中发现了一个重大安全漏洞:公会这可以通过漏洞来发出指令、操控发票。据称:该重大的注入缺陷是应用程序端输入验证web漏洞。
Android
Android系统下的安全漏洞现状更是不容乐观,去年10月阿里巴巴就曾对Android 系统下的APP进行过检测,结果显示:近97%的APP都存在漏洞问题,每个APP上的漏洞竟高达40个。
下面是阿里巴巴的分析报告:
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
今年的7月份,360手机安全研究团队vulpeckerteam曾提交过一个安卓APP新型安全漏洞:“寄生兽”。超过千万的APP将受到影响。
据称,“利用该漏洞,攻击者可以直接在用户手机中植入木马,盗取用户的短信照片等个人隐私,甚至盗取银行、支付宝等账号密码等。特别是常用的输入法类、地图类、浏览器类应用都在,也包括百度、腾讯、阿里等众多厂商的产品,如搜狗输入法、百度输入法等”。
9月13日,国家计算机病毒应急处理中心通过对互联网监测发现一种感染安卓手机的新病毒Android/SmsSpy.ccr。
据报道,该病毒可以获取以下权限,“读取手机状态;接收、读取、发送短信内容;访问网络连接;运行程序读取或写入系统设置;读写内置SD卡;自动编写短信和访问联系人信息;使程序开机自动运行并获取当前最近运行任务的有关信息;允许用户唤醒机器、程序修改全局音频设置;允许程序访问有关GSM网络信息和WIFI网络状态信息等”。
目前市场上智能手机占据着强有力的一个地位,而这些智能手机中,要数安卓机占据的市场份额最多。
市场上,许多手机生产商用的都是安卓系统,包括小米、酷派、华为等如此一来,安卓系统的开源性就导致很多的手机厂商可以任意修改个别设置和自由安装,那么这就很容易导致安卓手机的安全性得不到保证,危险也就增多。
据统计,目前市场上出现的APP安全漏洞主要是安卓系统上的,看来,安卓系统的安全漏洞确实较之苹果的IOS系统更胜一筹。
那么这些APP的背后,究竟是谁在操纵着这一切呢?
安全漏洞的幕后
这是一个复杂的黑色生产链,其中涉及到的操纵者包括:APP开发商、移动平台广告商、手机生产商、某些不法创业团体等。而这一切的来源就是所谓的:利益驱动。
利益是人们开发如此多APP的最大动力,也是安全隐患产生的最根本的原因。
一、APP开发商
很多的APP上的漏洞都是由一些简单的错误编码或参数使用不当所导致,开发者写错一个编码或是将参数稍微的变动一下,那么APP上的关键数据就很有可能被暴露从而带来安全问题。
再加上有些开发商在后期检测中不会主动去注意这些看似相对较小的细节问题,没有对APP进行重新的改进,安全问题就很容易出现。
对于许多的APP开发者(尤其是那些违规的APP生产商)而言,他们的目的就是要创造出更多、更吸引人购买的APP应用程序。这种相对功利性或者说是任务性的工作意识让他们在开发这些APP时往往忽略掉一些安全性方面的考虑。
而且在推广这些APP时或许也没有进行反复的考量和检测,就匆匆的上市发布,这样出来的产品或许会卖得好价钱,但是对于用户而言,或许后期的损失可能比这个价钱还要多。
对于那些急功近利的违规APP生产商,利益的驱动也许会让他们铤而走险,在APP中直接嵌入某些病毒和恶意程序,如果这有这样的事情发生,那么后果更是不敢想象。
二、移动平台广告商
据最新的中国互联网络信息中心(CNNIC)发布的第36次《中国互联网络发展状况统计报告》显示:截至2015年6月,中国网民规模达6.68亿,互联网普及率为48.8%;中国手机网民规模达5.94亿,占比提升至88.9%。
中国已经进入移动互联网全民时代,大数据的优势对于生产商来言逐渐变得重要而必要。
因此,许多广告商都在试图去搜集大数据,以期为自己所用。而移动应用平台的快速发展更是给这些商家提供了更加便利的途径。
下面是艾瑞咨询“中国移动应用广告平台市场规模研究报告”:
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
如此庞大的市场前景,必然也会出现鱼龙混杂的情况。
无论是手机还是手机号码而言,这都是相对稳定性的因素。通过APP预先设定的程序收集设备识别信息、地理位置等必要的信息可以帮着广告商适时而又准确的将广告投放到对应的用户中(广告商利用APP的“针对性”将广告嵌在应用程序中,待用户启动APP时就自动弹出或显示),而APP的开发者当然也会因此而获得相应的利益分红。
对于非正规的广告商和APP的开发者而言,这种方法的选择等于是一举两得,即节省了广告商在发布广告时所产生的中间费用又能够有效的控制广告目标用户的准确性,保证广告的有效性。
对于APP开发者而言,这样的交易对于它们来说等于是只赚不赔,何乐而不为?
三、不法手机生产商和创业团体
手机作为APP的移动终端设备,它们的存在就是给这些品种繁多的APP们使用。一般情况下,手机中并不会搭配APP进行出售,除非是客户提出要求。但是也会有些手机生产商(这里就不得不提到中国的山寨手机和水货手机)通过在手机中安装APP来达到获取用户信息以及发布信息赚取利益的目的。
一些违规的手机生产商或创业团体(如那一批批的水货军和行货军)甚至为达目的向用户出售已经安装过某些特定APP的手机,将恶意软件或广告嵌在手机中,依次来达到恶意扣费或是强制宣传推广等目的。
例如:据相关媒体爆料:一些走私版HTC智能手机在出厂时就曾内置过MobileReader的看书软件,这些软件会收费,稍不注意,就会向用户收取高额的增值税。
三星i9200智能手机也曾被爆料称:正品行货手机开机后已经内置了360手机安全卫士、youni短信等众多软件,虽然无害但是依旧会影响用户的正常生活。不过后经证实,这些APP是通过一些专门的“一键刷机”软件刷入手机之中,并非三星官方安装。
在生活中,我们还可以经常看到下面这类的APP安全隐患。
例如:广告中、活动现场等经常看到“买某某送手机”、“参与抽奖送手机”等等企业宣传推广的案例。
这些类似的营销模式下,厂商抓住消费者“贪便宜”的心理将携带有恶意目的APP装在手机中来进行自己的违法宣传推广活动。
结语:
在信息全球化的今天,我们每个人都在享受着便捷带给我们的实惠,但是在这些便捷之后,请记住:也隐藏着危险!
垃圾短信、WAP网站、流氓软件、木马病毒软件等时时刻刻都在威胁着人们的信息安全。有一天,突然一觉醒来,你是否会注意到自己的话费被扣、自己的银行卡被盗刷、手机内的信息被泄露等等APP安全漏洞问题。
APP安全问题的复杂以及其幕后形式的状况凸显了我们APP市场的庞大和形势的严峻。
每一个新的行业的兴起就必然会出现某些伤害用户利益的事情存在,监管部门的“没有及时发现和解决”就往往给了这种邪恶势力继续下去的机会,这何尝不是另一种意义上的漏洞呢?
虽然近年来,关于APP方面的政策也时有提出:如:2012年6月,工信部就出台了《关于加强移动智能终端进网管理的通知》(征求意见稿);2013年11月,工信部发布《关于加强移动智能终端进网管理的通知》;以及北京市出台的《北京市APP应用程序公众信息服务发展管理暂行办法》、《北京市即时通信工具公众信息服务发展管理暂时规定实施细则》、《北京市互联网新技术新业务审批暂行办法》等等。
但是由于APP行业的复杂,监管始终收效甚微。
希望APP安全问题尽快得到解决,以保证APP行业的健康发展。
本文系互联网圈内事(微信ID:quanneishi)原创
时间:2015-09-14
来源:爆料者
近日,据相关媒体报道:即时通讯工具WhatsApp的网页版存在威胁漏洞,通过这一漏洞,黑客可以散布危险恶意程序来感染用户的电脑。由于,whatsApp用户的数量巨大,预计全国将有2亿用户可能受到该漏洞的威胁。
据称,WhatsApp上出现的安全漏洞很容易被黑客利用:黑客借助一个WhatsApp账号就可以轻而易举的将BAT档案发给以电子名片的名义发给用户,不明用户只要点开这个名片就会自动启动这个档案内的恶意程序。黑客通过这个恶意程序可以感染用户的电脑或是窃取用户的个人信息等。
安全漏洞 APP安全 APP病毒
虽然WhatsApp官方在第一时间就对漏洞进行了修复,但是据其方面透露,在V0.1.4881之前的所有版本已经受到漏洞影响。官方建议用户尽快更新最新的应用程序以免受到感染和损失。
APP安全隐患问题再次进入人们视线。
APP安全隐患
APP应用市场如此广阔,单是对于IOS 和android 这两大操作系统APP市场来说,用户涉及的面就很难估量,更何况还有其他的平台。
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
IT之家2014年的APP数量的调查数据
这还仅是2014年的数据,相信照着这个趋势,现在市场的APP恐怕应该更多。如此之大的APP数量,当安全隐患显现时,想必其影响也是巨大而深远的吧。
IOS
虽然苹果声称一直拥有自己的操作系统,安全性较强,但是在APP安全漏洞方面也未能幸免。
2014年,国外研究机构IOActive Labs的研究人员阿里尔·桑切斯就曾测试过苹果iOS平台上的40款移动银行App。结果显示这些APP几乎都未实施基本的安全保护措施,安全漏洞随时可能出现。
2015年07月,安全专家Vulnerability Lab的安全研究员Benjamin Kunz Mejri在苹果公司的App Store和iTunes发票系统中发现了一个重大安全漏洞:公会这可以通过漏洞来发出指令、操控发票。据称:该重大的注入缺陷是应用程序端输入验证web漏洞。
Android
Android系统下的安全漏洞现状更是不容乐观,去年10月阿里巴巴就曾对Android 系统下的APP进行过检测,结果显示:近97%的APP都存在漏洞问题,每个APP上的漏洞竟高达40个。
下面是阿里巴巴的分析报告:
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
今年的7月份,360手机安全研究团队vulpeckerteam曾提交过一个安卓APP新型安全漏洞:“寄生兽”。超过千万的APP将受到影响。
据称,“利用该漏洞,攻击者可以直接在用户手机中植入木马,盗取用户的短信照片等个人隐私,甚至盗取银行、支付宝等账号密码等。特别是常用的输入法类、地图类、浏览器类应用都在,也包括百度、腾讯、阿里等众多厂商的产品,如搜狗输入法、百度输入法等”。
9月13日,国家计算机病毒应急处理中心通过对互联网监测发现一种感染安卓手机的新病毒Android/SmsSpy.ccr。
据报道,该病毒可以获取以下权限,“读取手机状态;接收、读取、发送短信内容;访问网络连接;运行程序读取或写入系统设置;读写内置SD卡;自动编写短信和访问联系人信息;使程序开机自动运行并获取当前最近运行任务的有关信息;允许用户唤醒机器、程序修改全局音频设置;允许程序访问有关GSM网络信息和WIFI网络状态信息等”。
目前市场上智能手机占据着强有力的一个地位,而这些智能手机中,要数安卓机占据的市场份额最多。
市场上,许多手机生产商用的都是安卓系统,包括小米、酷派、华为等如此一来,安卓系统的开源性就导致很多的手机厂商可以任意修改个别设置和自由安装,那么这就很容易导致安卓手机的安全性得不到保证,危险也就增多。
据统计,目前市场上出现的APP安全漏洞主要是安卓系统上的,看来,安卓系统的安全漏洞确实较之苹果的IOS系统更胜一筹。
那么这些APP的背后,究竟是谁在操纵着这一切呢?
安全漏洞的幕后
这是一个复杂的黑色生产链,其中涉及到的操纵者包括:APP开发商、移动平台广告商、手机生产商、某些不法创业团体等。而这一切的来源就是所谓的:利益驱动。
利益是人们开发如此多APP的最大动力,也是安全隐患产生的最根本的原因。
一、APP开发商
很多的APP上的漏洞都是由一些简单的错误编码或参数使用不当所导致,开发者写错一个编码或是将参数稍微的变动一下,那么APP上的关键数据就很有可能被暴露从而带来安全问题。
再加上有些开发商在后期检测中不会主动去注意这些看似相对较小的细节问题,没有对APP进行重新的改进,安全问题就很容易出现。
对于许多的APP开发者(尤其是那些违规的APP生产商)而言,他们的目的就是要创造出更多、更吸引人购买的APP应用程序。这种相对功利性或者说是任务性的工作意识让他们在开发这些APP时往往忽略掉一些安全性方面的考虑。
而且在推广这些APP时或许也没有进行反复的考量和检测,就匆匆的上市发布,这样出来的产品或许会卖得好价钱,但是对于用户而言,或许后期的损失可能比这个价钱还要多。
对于那些急功近利的违规APP生产商,利益的驱动也许会让他们铤而走险,在APP中直接嵌入某些病毒和恶意程序,如果这有这样的事情发生,那么后果更是不敢想象。
二、移动平台广告商
据最新的中国互联网络信息中心(CNNIC)发布的第36次《中国互联网络发展状况统计报告》显示:截至2015年6月,中国网民规模达6.68亿,互联网普及率为48.8%;中国手机网民规模达5.94亿,占比提升至88.9%。
中国已经进入移动互联网全民时代,大数据的优势对于生产商来言逐渐变得重要而必要。
因此,许多广告商都在试图去搜集大数据,以期为自己所用。而移动应用平台的快速发展更是给这些商家提供了更加便利的途径。
下面是艾瑞咨询“中国移动应用广告平台市场规模研究报告”:
安全漏洞 APP安全 APP病毒
安全漏洞 APP安全 APP病毒
如此庞大的市场前景,必然也会出现鱼龙混杂的情况。
无论是手机还是手机号码而言,这都是相对稳定性的因素。通过APP预先设定的程序收集设备识别信息、地理位置等必要的信息可以帮着广告商适时而又准确的将广告投放到对应的用户中(广告商利用APP的“针对性”将广告嵌在应用程序中,待用户启动APP时就自动弹出或显示),而APP的开发者当然也会因此而获得相应的利益分红。
对于非正规的广告商和APP的开发者而言,这种方法的选择等于是一举两得,即节省了广告商在发布广告时所产生的中间费用又能够有效的控制广告目标用户的准确性,保证广告的有效性。
对于APP开发者而言,这样的交易对于它们来说等于是只赚不赔,何乐而不为?
三、不法手机生产商和创业团体
手机作为APP的移动终端设备,它们的存在就是给这些品种繁多的APP们使用。一般情况下,手机中并不会搭配APP进行出售,除非是客户提出要求。但是也会有些手机生产商(这里就不得不提到中国的山寨手机和水货手机)通过在手机中安装APP来达到获取用户信息以及发布信息赚取利益的目的。
一些违规的手机生产商或创业团体(如那一批批的水货军和行货军)甚至为达目的向用户出售已经安装过某些特定APP的手机,将恶意软件或广告嵌在手机中,依次来达到恶意扣费或是强制宣传推广等目的。
例如:据相关媒体爆料:一些走私版HTC智能手机在出厂时就曾内置过MobileReader的看书软件,这些软件会收费,稍不注意,就会向用户收取高额的增值税。
三星i9200智能手机也曾被爆料称:正品行货手机开机后已经内置了360手机安全卫士、youni短信等众多软件,虽然无害但是依旧会影响用户的正常生活。不过后经证实,这些APP是通过一些专门的“一键刷机”软件刷入手机之中,并非三星官方安装。
在生活中,我们还可以经常看到下面这类的APP安全隐患。
例如:广告中、活动现场等经常看到“买某某送手机”、“参与抽奖送手机”等等企业宣传推广的案例。
这些类似的营销模式下,厂商抓住消费者“贪便宜”的心理将携带有恶意目的APP装在手机中来进行自己的违法宣传推广活动。
结语:
在信息全球化的今天,我们每个人都在享受着便捷带给我们的实惠,但是在这些便捷之后,请记住:也隐藏着危险!
垃圾短信、WAP网站、流氓软件、木马病毒软件等时时刻刻都在威胁着人们的信息安全。有一天,突然一觉醒来,你是否会注意到自己的话费被扣、自己的银行卡被盗刷、手机内的信息被泄露等等APP安全漏洞问题。
APP安全问题的复杂以及其幕后形式的状况凸显了我们APP市场的庞大和形势的严峻。
每一个新的行业的兴起就必然会出现某些伤害用户利益的事情存在,监管部门的“没有及时发现和解决”就往往给了这种邪恶势力继续下去的机会,这何尝不是另一种意义上的漏洞呢?
虽然近年来,关于APP方面的政策也时有提出:如:2012年6月,工信部就出台了《关于加强移动智能终端进网管理的通知》(征求意见稿);2013年11月,工信部发布《关于加强移动智能终端进网管理的通知》;以及北京市出台的《北京市APP应用程序公众信息服务发展管理暂行办法》、《北京市即时通信工具公众信息服务发展管理暂时规定实施细则》、《北京市互联网新技术新业务审批暂行办法》等等。
但是由于APP行业的复杂,监管始终收效甚微。
希望APP安全问题尽快得到解决,以保证APP行业的健康发展。
本文系互联网圈内事(微信ID:quanneishi)原创
赞赏
看原图
赞赏
雪币:
留言: