Последнее обновление: 25 Апрель 2016 в 13:28
Подпишись на RSS
rss Подпишитесь на RSS, чтобы всегда быть в курсе событий.

Language

Ads

Контакты

Рекомендуем

Комментарии

Присоединяйтесь к обсуждению
  • вова: проблема перезагрузил телефон и сбилось время в настройках нету изменить время куда эти настройки пропали не...
  • Женя: как восстановить системные файлы? ну типо папку system а то я файл vold. из папки /system/etc заменил другим,...
  • Кирилл: Здравствуйте у меня такая проблема когда я захожу в игру у меня высвечивается табличка с надписью (доступна...
  • Сергей: ДД!Такая проблема,телефон HTC desire820 при повторном включении переходит а меню загрузки,как быть
  • Андрей: Телефон автоматически нажимает сам на себя! В чем проблема?
2 Май 2012

Как бороться с уязвимостями Android? Уроки системной безопасности для Андроида. Часть 2.

Как бороться с уязвимостями Android? Уроки системной безопасности для Андроида.

Часть 2.

Бреши в безопасности Android и программы, которые используются для причинения вреда.

Изначально Android строился как система, которая выдает различные права и ограничения для приложений, который изначально не могут иметь доступ к конфиденциальной информации других программ. Но вместе с этим Android так и остается далеким от идеала ОС, имея целый арсенал уязвимостей. Основной проблемой всегда остается уязвимость, когда система позволяет приложению получить Root-права. Для этого зачастую используются специальные приложения, программные модели или утилиты. Обычно подобные действия сами по себе ничего плохого не несут, но впоследствии желание иметь больше контроля над системой выливается в дополнительную головную боль. Но именно данные уязвимости, которые дают больше системных прав, могут быть использованы создателями вирусов. При использовании хитрых скриптов и программных модулей можно добиться администраторских прав почти на уровне Root, что позволяет устанавливать без препятствий все что угодно без учета разрешения владельца устройства – группа вирусов Android.DreamExploit и Android.Gongfu. Иногда они не работают напрямую, а стараются обмануть пользователя и ввести в заблуждение, чтобы он по ошибке разрешил дать возможность действовать вредоносной программе.

Среди основных и важных моментов в безопасности Android остается приоритет системы разрешений. Всегда при установке нового приложения система показывает весь список запросов приложения и функций, которые будут доступны после установки. Как только установка завершится, данное приложение сразу будет иметь все возможности уже без запроса к пользователю, которые выдала ей система Permission System (система разрешений). Задумайтесь, когда в последний раз Вы устанавливали приложение и просматривали ее запросы на разрешения? Увы, наверняка только малая часть сознательно читает список запросов. Ведь нельзя предугадать, какая именно запрашиваемая функция станет брешью, через которую будет вредоносно действовать вирусная программа. Но есть и другие промахи и обходы безопасности в системе. При желании каждый может создать свое приложение, которое не требует никаких доступных функция от системы, но вместе с тем получать и собирать конфиденциальную информацию пользователя, и иметь доступ к любому файлу. Всегда можно попасть в ложное ощущение безопасности, хотя в это же время вредоносное приложение тихонько собирает данные о Вас: к информации, которая не зашифрована, списку установленных приложений, данных об использованном операторе связи; и которую рассылает через интернет создателю.

А теперь внимание любителям поэкспериментировать с кастомными прошивками – угроза хранится даже в них! И поводов вполне предостаточно, чтобы побеспокоиться. Первое, что стоит знать – уже с самого начала вредоносная программа может быть вшита в прошивку. Второе – если приложение подписано цифровой подписью системы, то при этом одновременно оно получает все доступные права. Кстати, если даже в рамках проекта AOSP (Android Open Source Project) все подписи являются приватными для образов, то все равно случаются случаи ее кражи. Типичным примером становится заражение Android-вирусом Android.SmsSpider, который функционирует незаметно для владельца, который установил «неправильную прошивку», и загружает дополнительно троянские apk.

Но не только сторонние приложения могут быть атакованы вирусами. Каждый системный файл может быть завирусован и использован как уязвимость системы в общем. Буквально до недавнего времени так использовалась брешь во встроенном браузере Webkit, которая позволяла автономно работать вредоносному скрипту и вытягивать из этого браузера всю пользовательскую информацию и передавать ее по интернету.

Естественно, если разработчики софта не будут уделять внимание подобным проблемам в безопасности в работе приложения, то такие программы будут скомпрометированы в первую очередь, на практике оставаясь посредником для опасных действий. Вирусной атаке может быть подвергнута и вся информация, которая хранится в незашифрованном и незарегистрированном виде – данные регистрации, коды, пароли от банковских карт, конфиденциальные данные, личная переписка. Есть и другой способ перехватить вышеперечисленные данные – сбор высылаемых данных напрямую без дополнительной шифровки и защиты. Злоумышленники при сильном желании могут перехватить все, что угодно. Самым ярким прецедентом был случай, когда при использовании популярного приложения Skype были перехвачены данные многих пользователей, в том числе и переписка, список контактов, скрытая информация профиля, в общем, все, что не было зашифровано.

Голосуй!

Нравится


Поделитесь с друзьями!
Опубликовать в twitter.com Опубликовать в своем блоге livejournal.com
Похожие статьи:
Конфиденциальность информации на Android
Как бороться с уязвимостями Android? Уроки системной безопасности для Андроида. Часть 3.
Как бороться с уязвимостями Android? Уроки системной безопасности для Андроида. Часть 4.



К записи "Как бороться с уязвимостями Android? Уроки системной безопасности для Андроида. Часть 2." есть 1 комментарий

Думаю если следовать всем советам из этой статьи, то о безопасности своего Андройда можно не беспокоится, к тому же всем советам очень легко следовать.


Оставить комментарий

Пожалуйста, зарегистрируйтесь для комментирования.

Свежие новости и горячие обзоры игр и приложений на Андроид и IOS

New

банер-проверишь

Счетчик

Статистика сайта
Закрыть
ОСТОРОЖНО, ЗАТЯГИВАЕТ!!!!!!