实例演示Android安全须知

Posted 2020-10-30

软件免费像是一种潮流，收费软件生存空间变小，只能变向获利。

于是.....

app加入信息搜集，用户行为收集，植入广告，留后门。

为了利益，修改带资金的app，窃取用户资金。

app加入挖矿功能，挖黑金。

利用第三方sdk接口收集用户信息。

app中插入广告链接。

app中植入木马。

利用用户手机发动ddos攻击。

伪装成官方应用......

我们了解的仅仅是新闻上所报出来的，还有许多暗流不为人知。总结以下几点安全须知，供广大android用户参考。

1. 不安装非官方应用

非官方apk可能被植入木马。

Apk反编译植入木马，利用漏洞系统提权获取手机所有操控权。

毁轮子的成本肯定比造轮子的成本低，apk安全也是一样，目前国内99%apk都是能二次重打包，可任意修改apk，加入新的功能。甚至可以直接复用当前apk包中任意功能。

比如某x信中，只需要将这段代码注释掉，检测更新功能就去掉。

攻击者可在应用中加入远程执行功能，攻击者可以远程执行应用中的命令，比如远程列举vx的目录。

某用户在网上搜索自动抢红包软件，下载被植入木马的vx，安装到手机。

某用户在网上搜索跳一跳外挂，不知道里面其实已经植入木马。

我这有自动抢红包的支付宝。下载安装，登录支付宝。

…………钱转走了，显示金额不变。

手机连上电脑，某pc端软件提示安装某apk.，界面和某数字公司一样。用户不毫不犹豫安装了…………。

总之一句话，不安装不可信的apk，天下没有免费的午餐，诱人的功能都是糖衣炮弹。

不是有杀毒软件吗……？

杀毒软件没有root权限是不能对apk内部数据访问的，可是木马和应用已经在一起，虽然多数android手机都能root，可是你真的放心root吗？

没有root的手机已经提示安装一堆送应用，有root权限，直接静默安装到系统中……。

2.确保上网环境安全

通过流量劫持实施http劫持。

大家知道Fillder burpsuite可以抓取http,https的包，并修改返回的结果。

下图为某银行登录时抓取的登录信息：

不安全http可能遭受流量劫持，并替换流量。比如，某应用更新，更新时被流量劫持，apk更新后变成木马，实施此攻击只需要攻击者与受害者在同一网段，比如在某咖啡店上网。

在公共不安全环境上网时，app访问http域名可能遭到劫持，截取用户信息。

更严重的是伪消更新消息,伪装成提示app更新，用户如果不在意安装了带木马的应用……危害巨大。

3.随时保持系统为最新版本

这是利用堆溢出的vmvare虚拟机逃逸漏洞，发生在低版本的vmvare中，如果用户不升级软件，使用虚拟机过程中可能对真机造成危害。

Android系统也是一样，随着android热度不断攀升,每隔一段时间Android系统都会报出漏洞，如果用户没有及时升级系统版本，可能受到安全威胁。

不完全统计，仅2017年android系统漏洞个数上报达到500以上，这里小编保守估计，其实远远超过这个数。

4.应用升级为最新版本

最新版本应用程序更新不只是功能更新，可能是重大的bug修复。

2017年的应用克隆漏洞利用webview域控不严谨，窃取应用数据，威胁支付安全，身份安全。

当app场商得到此消息都会第一时间修复问题，更新新版本可以规避这种类似风险。

手机长时间离身，手机系统软件可能被替换。

手机被root，替换应用安装包，植入木马。

应用被替换,app数据被导出,可能造成财产损失。

当下移动市场，android手机五花八门。带木马行为的app能在google play上存活两个月，然而我们上不了google play，这就安全了？

互联网上可以下载自动加抢红包app，可以随意修改手机系统刷机，这些看起来很方便，但同时也给安全问题敞开了大门。

更糟糕的是，大家对android app了解的还不够。通常大家只会觉得电脑会中病毒，手机病毒可能很少。

当下移动端数量远超pc端，病毒数量不亚于pc上，并且更具传播性。