Android新的漏洞的应用程序中的发现!
最近,趋势科技发现一些Android中的漏洞应用程序内存。来发动攻击。我们调查了两个受影响的应用程序,大家来感受一下:
1、超过一千万次安装、及在下载页面拥有数十万笔用户留言的生产力应用程序(生产力应用程序是能够提高企业生产力或者软件开发能力的软件组件。)
2、超过一百万次安装、及在下载页面拥有数千笔使用者留言的购物相关应用程序
问题出在运行应用程序功能的特定Android组件。这个组件有个属性名称为“android:export”,一旦设定为“true”,就能够让此组件被其它应用程序运行或者存取。这代表设备内安装的应用程序能够去触发其它应用程序的某些功能,尽管这对想和其它厂商的应用程序建立伙伴关系的开发人员和厂商来说会非常方便,但从安全的角度来看,也给了网络犯罪分子发动攻击的机会。
攻击者能够制作恶意链接或其它恶意应用程序的弹窗来窃取信息,弹窗还能够在购物应用程序内显示。并用来发动攻击。还有一种可能出现的安全问题方式是针对重要资料的内容提供商加以收集。而且这些关键的内容能够通过定义权限来加以保护。
生产力应用程序能够完毕那些对详细信息的组织与处理的任务。人们使用生产力应用程序是为了完毕重要的任务。
在前面所提到的生产力应用程序中。内容提供商储存输入会通过读取和写入权限保护。可是,假设这两种权限都设成“正常”的保护级别。这意味着设备中所安装的全部应用程序也都被拥有同样的权限。
对于开发者来说,这个问题说明了须要给予应用程序不同组件适当限制的重要性。easy被滥用的组件应该加以权限保护(以及适当的保护级别)。使用保护级别来防护Android组件可能不是非常easy就能做到。但它提供了良好的安全性。
趋势科技强烈建议开发者检查他们应用程序所使用的组件,并确保对它们的存取有适当的限制。我们已经通知上面所提到应用程序的开发者,告诉他们此问题。我们觉得另一些其它的热门应用程序可能也受到影响,当我们发现后也会通知他们。
了解趋势科技PC-cillin2014移动安全软件。请点击链接:
http://www.trendmicro.com.cn/pccillin/mobile-security-for-android.html版权声明:本文博客原创文章,博客,未经同意,不得转载。
更多相关文章
- Android应用程序提交Crash报告
- Android应用开发之(你必须知道的8个Android开发工具)
- Android开发学习笔记:Intent的简介以及属性的详解
- 【Android四大组件之Service】(二)Android中Service的使用详解和注
- Android(安卓)UI线程和非UI线程
- Android应用程序大小上限增至4.05GB
- Android实现长按back键退出应用程序的方法
- Android应用程序Zipalign化 -- 如何让Android应用程序更有效率的
- Android开发之使用Preferences设计软件设置界面(源代码分享)