首頁>科技>

近兩年來,很多中中國產手機應用程式在國外被指控竊取使用者個人資訊,而獲取這些資訊與實現這些App的功能無關,沒有任何合理的收集理由。可怕的是,在國內手機應用市場,手機App獲取手機使用者的個人資訊的行為已被視為“習以為常”,甚至手機使用者對個人資訊的外洩都持滿不在乎的態度,“我的個人資訊又不值錢,有什麼可竊取的?”大多數人這樣表示。

很多夾帶外掛的中中國產App並不無辜,拋卻政治原因,國外安全公司並沒有完全冤枉中中國產應用程式,因為這些App的開發者從一開始就在他們的應用軟體里加裝後門、獲取個人資訊的功能以及其他東西,而且還努力不讓使用者注意到。

我的手機App裡隱藏了什麼?

數千個免費中中國產APP,甚至收費的商業應用程式都有此類問題。很多手機安全公司越來越注意到,出於某些原因,開發商投入了許多精力,讓分析App變得更困難。如果努力嘗試破解裡頭的保護功能並探究其程式設計方式,會發現各種資訊都被收集並送往開發公司的伺服器,而這些資訊其實沒有收集的必要。

許多手機應用程式乍看之下不起眼而且無害。起初它只是安裝一個小小的後門,以利黑客日後使用。就算你現在檢查這些App,看上去一切正常,但應用程式開發商通常能在使用期間通過“版本升級”的方式擴充套件它的功能。你不需要再次在App商店中下載這個軟體,它就能突然增加其他的操作。

無所謂的心態很危險

中中國產手機App的“執行中更新”與國外軟體開發商定期提供的App實時更新不同。作為手機使用者,我們可以同意微軟Office進行定期更新。但很多中中國產應用軟體則是在使用者毫不知情的情況下更新,甚至可能是在使用者正在使用App的過程中。

開發商以此類方式不斷擴大手機使用者賦予App的許可權,絕大多數使用者根本不會仔細研究App要求了什麼樣的許可權。當App跳出一個對話方塊時,他們只是下意識點選同意。如此,App便能取得使用者實時位置,隨時得知他們身處何地,甚至可能取得手機聯絡人或內部檔案。因為想要使用App,就必須接受這些條款。

系統預裝的惡意軟體

不僅是使用者主動在App商店中下載的應用軟體有此類情況。在購買Android智慧手機時,裡頭經常已經預安裝了惡意軟體。許多智慧手機運營商使用第三方開發軟體,卻不知道它的來源以及程式設計者為何人。

惡意軟體成了製造鏈的一部分,很快就能使其受到侵蝕。部分手機預裝應用程式甚至擁有系統特權,是作業系統的一部分,使用者無法將徹底解除安裝。如果此類應用程式有缺陷,使用者根本無法做出任何應對。

軟體開發存在風險

與蘋果的IOS系統相比,Android手機更容易受到惡意軟體的危害。原因在於,蘋果一手掌握了其手機開發及App商店,在發現惡意軟體時可以更快速地應對並將其移除。

Android系統則需要更多反應時間,Android的開源專案(ASOP)提供軟體開發者所需的資訊和原始碼。開發商若想要推出新智慧手機,可以在程式碼庫中尋找客戶可能會喜歡的軟體搭配組合。混亂的製造、開發和經銷結構形成了安全風險,裡頭有許多參與方,對應一個分散的市場。由於有許多中中國產手機制造商為了自己的利益,都喜歡對Android作業系統做出換皮甚至更多的修改並貼上自己的標記,有些是為了增加使用者黏性,有些是為了廣告分發,有些是為了獲取使用者資料,更有些是用著Android還不想承認自己手機的系統是Android……導致一切變得不夠安全。

惡意軟體藏在程式開發工具中

蘋果並非完全倖免於此類攻擊,2015年國內的Xcode Ghost風波便是一例。這個惡意程式碼潛伏在蘋果的程式開發工具Xcode中,而程式設計者需要Xcode來編寫MacOS或IOS系統的應用軟體。

當時,如果下載的是蘋果官方Xcode並用其開發App便不會出現狀況。但很多開發者通過無需付費的灰色渠道取得Xcode,惡意程式碼會被自動植入App中,這就會出現問題。

當時約有4000個應用程式在開發者不知情的情況下被注入惡意程式碼。看上去是個龐大的數字,但與目前蘋果App商店中近200萬個應用程式相比,這個數字只是九牛一毛。但XCode Ghost確實是非常專業的黑客手法,從黑客的角度來評價,通過開發環境,在App開發期間就植入惡意程式碼,手段極為高明。

手機總體比電腦保安

作為手機使用者,我們需要做些什麼來確保手機的安全?令人驚訝的好訊息是:智慧手機的安全性比想象中更高。

無論是安卓或IOS,智慧手機作業系統的基本原則是,App在沙盒環境中執行,只具備非常有限的許可權。只要作業系統沒有開放的安全漏洞,惡意軟體就無法訪問使用者在其他App中執行的操作,甚至是攻擊作業系統。因此,智慧手機通常比一般計算機更安全。例如IOS比一般的Windows10系統電腦保安。這是因為即便作為使用者,在iPhone手機中也沒有管理許可權,但在使用者在Windows計算機上卻擁有這些許可權。

真正安全與否取決於使用者

國內手機App大環境就是如此,作為手機使用者,重要的是隨時保持警惕,不要將所有看似有意思的東西安裝在自己的手機上。對於應用程式擁有哪些許可權,手機使用者不僅應心裡有數,也不要隨意批准所有許可權。

企業使用者可以通過中央裝置管理(即所謂的MDM功能),保護髮放的業務用手機安全性。通過上述管理系統,企業能決定手機上只能安裝特定App,或使用者可與哪些網路聯機。雖然這樣的限制會減少手機使用的樂趣,但至少能確保資料都完好地儲存在手機裡。

最新評論
  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 輪到蘋果低頭了!拿出1000億私下與韓和解,白宮或徹底憤怒了