IT龍門陣第179期：技術專場之Android安全現狀

    【TechWeb報道】11月28日消息，IT龍門陣技術專場之Android安全現狀昨晚舉行，豌豆莢創始團隊成員丁吉昌和金山網絡資深反病毒研究員陳章群在現場分享了Android最新的安全動態。

廣告其實也是安全的一部分

    今年，金山網絡“手機毒霸”產品曾推出新功能，攔截App應用內所有廣告，直接威脅開發者基本生存權。隨即，多盟、觸控科技等19家App開發商和廣告代理商發布聲明要求其更改手機毒霸軟件。此事一時引發業界討論。

    對于手機廣告，丁吉昌認為，Android手機用戶都知道，除了傳統定義上的安全，廣告是一個很大的問題。而廣告其實也是安全的一部分。當然這個也是開發者賴以生存的事情。

    而對于豌豆莢而言，會對廣告進行安全檢測，然后進行分級處理，優先推薦無廣告的應用。不會徹底屏蔽廣告。

    丁吉昌也舉例稱，減少廣告是對用戶負責。豌豆莢曾有一個叫“水果忍者中國天津爭霸”和“水果忍者”兩個應用。當時，兩款應用在排行榜分別排第四和第六，不過由于嵌入了通知欄廣告，兩周后這兩個應用在TOP10里就不見了，反而被另一個無廣告的水果忍者的高清版所替代。

    “用戶也很煩這種通知欄廣告，他們會自己挑那些沒有東西的，就慢慢的把它頂上去。”丁吉昌最后總結道。

短信漏洞其實有三種

    “Android短信漏洞大家可能只知道有一種，實際上在市面上比較多的就有三種情況。”金山網絡資深反病毒研究員陳章群在IT龍門陣現場表示。

    陳章群介紹稱，第一種Android短信漏洞就是直接使用收件箱，只需要申請寫權限和讀權限就可以實現。多數做移動開發的人員基本都知道這個漏洞。

    第二種是利用Android系統漏洞構造出來的一些短信。該漏洞需要去構造PDU(即，協議數據單元（Protocol Data Unit），是指對等層次之間傳遞的數據單位。)，不過整個安裝過程中是沒有申請任何跟短信有關的權限，但是它能夠實現發送假消息。此外，這個漏洞可以根據用戶的聯系人，和聯系人給用戶發過什么信息，做相應的構造。

    而第三種漏洞與上一個很相似，唯一區別是前面漏洞需要自己去調系統服務，而這個漏洞不需要調系統服務，所有的操作都是正常的。(韋浦)