看板 MobileComm作者 isoxxxxx (LP玫瑰)標題 [新聞] 為何Android 設備資安漏洞一堆?研究:各時間 Fri Nov 8 12:53:38 2013
android廠商太多慢升級或是不給你升級
bug修的速度當然追不上回報的速度:(
http://www.nownews.com/n/2013/11/07/1013799
為何Android 設備資安漏洞一堆?研究:各家預載app一堆蟲!
2013年 11月 07日 19:25
Android智慧手機廠不只發佈安全補件給終端用戶的動作慢一拍,他們還會假借區別各家特
色之名,塞一堆有bug的軟體在自家手機內。
北卡羅萊納州大學電腦科學系新研究指出,欲打造自家特色Android手機的廠商,往往很不
必要地在手機內預載一些app,又似乎不會隨時間改善。
研究員針對Google、HTC、Samsung、 LG和 Sony公司,研究其2代內旗艦手機的預載app數
量和漏洞問題。
這10款設備分別為Google的 Nexus S 和 Nexus 4、宏達電的Wildfire S 和 One X、三星
的Galaxy S2 和 S3、Sony的Xpreia Arc S 和 Xperia SL,以及LG的 Optimus P350 和 P8
880。
總體來說,這些設備總共有1548個預載app,但有些透過Android開放碼計畫(AOSP)已經包
含在Android內,這些預載app約有82%是手機廠在特製手機時加入。
從資安角度來看,最大的問題就是這些app作法糟糕:研究員指出,全體預載app中,有86%
的app要求的Android權限超過真正需求,也就 是所謂的「過度特權」,所以手機廠在這一
點都表現不佳,就連Google的Nexus S也一樣,在「過度特權」領域排名第2高。
此份脆弱app的分析報告,對於表現最好和最壞的手機給了混合的結果。研究員同時分析了
每款設備的脆弱app數量和所佔比例。
根據報告,在脆弱app所佔比例的項目中,在2012年前問世的手機,宏達電Wildfire S表現
最差,2012年後問世的設備中,LG的 Optimus P8880表現最糟糕。然而,Sony的Experia A
rc S 和宏達電的One X比例最低,而Google的 Nexus 4表現尤其好。
但若以脆弱app數量來看,又是另一回事。研究員指稱:「宏達電Wildfire S仍然在2012年
前的設備中是安全度最低的手機,但三星Galaxy S2也只是少了1個脆弱app而已。」
「在2012年前的設備中,Sony Xperia Arc S 和 Google Nexus S 並駕齊驅,是資安最好
的設備。然而,2012年後發布的設備,資安排名卻又大洗牌。三星 Galaxy S3 有40個脆弱
app,而LG Optimus P880有 26個,宏達電One X 降至中間排名(15個),但仍遜於Nexus 4
(3個) 和Sony Xperia SL (8個)。」
事實上,Google若接到Android新資安漏洞的回報,反應相當快速,此點也備受讚揚但問題
在於通訊商和硬體廠只會對一些設備推出修正檔。
研究員發現,手機廠平均大概耗費半年的時間,才會推出這些設備的官方更新。
他們還指出三星S3更新時出現的地區差別待遇,因為2012年9月就提供Android 4.1.1讓英
國使用者更新,但美國使用者須等到2013年1月才能更新。(Android 4.1.1是2012年7月推
出)
--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 42.75.158.163
※ 編輯: isoxxxxx 來自: 42.75.158.163 (11/08 12:54)
推 saber102:ARC S用戶飄過~~ 好頓呀@@1F 11/08 13:03
→ boogieman:手機會不會變慢跟昇不昇級有什麼關係?這邊重點在各家3F 11/08 13:04
→ Juxayle:那麼討厭android卻又那麼關注android~呵呵4F 11/08 13:05
→ boogieman:依照自已行銷要求強加一些APP還不給刪 甚至還自行成立App市集卻又不把關 到後來讓一些亂要權限的App取得5F 11/08 13:05
→ kyle0478:野火s又有新戰績能說嘴了 不愧是四大天王XD7F 11/08 13:07
→ boogieman:做手腳的機會 這才是Google 要想辦法約束的事8F 11/08 13:08
※ 編輯: isoxxxxx 來自: 42.75.158.163 (11/08 13:10)
→ b1ueway:這ID的文就兩種 捧APPLE 跟 貶安卓(尤其三星) 沒了大概三星老董欠他幾百億吧9F 11/08 13:11
推 aftermathx:ASUS搭中華電信的機子超扯的 預載app超過5頁11F 11/08 13:14
推 mullin1453:黑三星很好啊!三星寫手那麼厲害,不怕被黑啦
新聞媒體也都幫三星一下就洗白了13F 11/08 13:19
推 kiioo:iso哥好關注資安喔 相較下 蘋果除了被大規模盜取帳密15F 11/08 13:30
→ OscarShih:好可怕, 地球人口幾億台安卓手機...完蛋了16F 11/08 13:30
→ kiioo:及使用大陸軟體itools外 安全性比安卓好太多惹17F 11/08 13:30
推 eterbless:不只預載APP play上面的一堆app也都過度特權吧19F 11/08 13:31
→ kiioo:希望iso哥也能持續關注蘋果及安卓的資安議題20F 11/08 13:31
推 gottsuan:原PO說得也是事實 很討厭廠商預載和google預載 又不能移除除非root 還有真的也太多app要求不必要的權限了 也才會一堆漏洞21F 11/08 13:40
推 slent67:我覺得至少要改成跟ios一樣 可以選擇給予的權限24F 11/08 13:44
→ flypower:小米的授權/自啟管理沒root可以管理授權app的權限
這一點小米的創意不錯25F 11/08 13:46
→ dreamcwli:Android 4.3 後其實有個隱藏的設定可以改權限27F 11/08 13:48
→ sanro0509:就是給三爽代工 才一堆抄蘋果的呀 頗ㄏ
推錯
sorry28F 11/08 14:03
推 ww5555:講了一大堆,何時要正視apple id被盜的問題,也不見apple對盜用事件發表聲明,apple id被盜等於app store、email、行事曆、通訊錄通通被盜,應該比什麼軟體漏洞來得令人擔心吧31F 11/08 14:09
→ oherman:android至少還會告訴你要了什麼權限,ios都偷偷要…IOS讀你的聯絡簿、通話資料也不會告訴你35F 11/08 14:10
→ Simman:推文外行說內行話,看了心情真舒服40F 11/08 14:12
推 banbanzon:盜阿婆id最爽惹 用阿婆的人普遍資安意識較低 一盜就戰果豐碩滿載而歸^.<41F 11/08 14:13
推 slent67:@oherman 你這樣不算造謠嗎?43F 11/08 14:14
→ OscarShih:說的也是, 目前apple id被盜的事, 讓人開始懷疑iOS的安全性, 甚至是整個apple id運作的問題44F 11/08 14:14
→ cash35:這次被盜的人數很多 但看周遭朋友幾乎都沒中標
改不會是某些ID存放的伺服器被駭吧....
話說帳戶這種東西會分不同的伺服器存放嗎??
我前幾天試著偷偷改我妹的Apple ID成功 因為我有她的gmail帳密 然後這組帳密跟Apple ID是同一組46F 11/08 14:17
推 RedmanYO:apple id 就i don't care 阿51F 11/08 14:19
→ Juxayle:這樣就叫造謠,那不就一天到晚都有人造謠.....~52F 11/08 14:19
→ cash35:試過才發現改ID超簡單的 Apple唯一的認證程序是
發一封信到原本的ID mail告訴你說你的ID被改了
然後再發一封信到你新登記的mail(如163.com信箱)53F 11/08 14:20
→ hu393:我看蘋果不用打廣告了 靠原PO就綽綽有餘56F 11/08 14:21
→ cash35:要求你針對這個新的帳號做認證 我妹的ID就被我改了XD不過雖然我妹的id被我註冊過 但信用卡號碼還是取不到57F 11/08 14:21
推 Simman:樓上的例子建立在已經知道建立apple id的email跟pw59F 11/08 14:22
→ cash35:因為進到帳戶裡頭只能看到卡號末四碼 安全碼也看不到只能幫她買歌 不能拿去購物網站偷刷新手機XD60F 11/08 14:22
→ Simman:如果是自己的email跟pw外流,那責任歸屬就要有待商榷62F 11/08 14:24
→ cash35:是這樣沒錯 不過只知道帳號和密碼就可以幫人改掉這點認證程序實在做的太簡單了 像臉書跟google帳戶那樣64F 11/08 14:25
→ Simman:可以用被盜的id到自己開發的app瘋狂購買商城裝備66F 11/08 14:26
→ cash35:可以用手機簡訊做兩階段認證的話 我還要取得我妹手機本體收認證簡訊 這樣難度就高非常多67F 11/08 14:26
→ Simman:fb的話也要願意輸入自己的號碼進去,我就跳過那步驟69F 11/08 14:27
→ cash35:如果是被盜來買自己沒買過的app或dlc 基本上透過客服70F 11/08 14:27
→ Simman:人越老越不喜歡把自己資料留給別人71F 11/08 14:28
→ cash35:都會把錢退給你 因為iOS的app金流管控通通抓在apple手上 也只能刷Apple管控底下的東西 我個人覺得用這招72F 11/08 14:28
→ Simman:是阿,不過購買資訊一般都寄信到註冊apple id的email74F 11/08 14:29
→ cash35:洗app下載數、洗排名、洗評價還不錯 要A錢有困難就是75F 11/08 14:29
→ Simman:喪失當初註冊的email的話也看不到買了什麼76F 11/08 14:30
→ cash35:是啊 不過收到銀行帳單就知道有沒有被盜刷吧....77F 11/08 14:30
→ Simman:運氣好兩天後看到,運氣差就一個月了...XD
超過一個月基本上apple還是給退,所以就比較沒差78F 11/08 14:30
推 cash35:總之Apple ID修改帳號的認證流程真的很弱
另外就是為什麼很多人並沒被駭這點也是很怪就是
若真是伺服器端的災情來說 不應該只有這樣而已80F 11/08 14:32
推 jumbotest:我裝xposed後都會手動把app的權限取消83F 11/08 14:47
推 eterbless:可能是這些人用facebook帳戶登入到某個網站然後這筆資料剛好跟appleid一樣 然後就被盜了?85F 11/08 14:51
→ OscarShih:麻煩的是apple的cloud,apple id的安全性是不可知的只有這塊是不透明的, 你只知道你的資訊和資源上去了但不知道上面有什麼, 傳了什麼,87F 11/08 14:52
推 Wcw5504:所以重點是要保證自己用來註冊的信箱安全無虞吧...沒被盜跟信箱用了二步驟驗證恐怕也有關係90F 11/08 14:56
→ OscarShih:apple id會留下資訊在信箱裡面嗎92F 11/08 14:57
推 Handfight:S3有40個也是蠻厲害的,領先群雄啊
不愧是暢銷手機94F 11/08 15:05
→ silence5105:這之前好像有相關資安問題文章 s3跟note2 xda還幫寫96F 11/08 15:23
→ ducamao:其實sony是內建功能大少(誤97F 11/08 15:38
推 ww5555:其實文內說的不完全正確,因為現在安卓會詢問是否讓google檢查第三方app,並不是完全被動等待手機供應商更新,當然,檢查的強度如何就不得而知98F 11/08 15:48
→ isoxxxxx:@oherman 從頭到尾都說錯 android會告訴你要什麼權限但是你只能全給或全不給 iOS可以根據個別權限給
你要黑蘋果也不做功課 講一些沒有根據的話誤導人家還蘋果都不給你知道勒 黑蘋果都給你講就好了啊101F 11/08 15:50
→ OscarShih:4.3的permission manager可以控制app內的各種權限
並不是全給或全不給105F 11/08 15:56
→ isoxxxxx:可是全部的android手機只有2.3%升得上4.3 這跟沒有權限管理是一樣的吧XDD 還有97.7%手機不能控制107F 11/08 15:58
→ OscarShih:至少你不能說安卓沒做到, 升級是遲早的事109F 11/08 15:59
→ isoxxxxx:有遲早的事嗎....你看看有多少手機升不了4.3的...110F 11/08 16:01
→ OscarShih:版本更新有新功能本來就是一件進行式
只是安卓把這個功能放在現在做而已
就好像安卓粉也很常笑iOS沒有快速控制, 7.0做到了
但在7.0之前這種功能不也是一種未來式嗎
說真的你拿這個來鞭安卓安全性有問題我不反對111F 11/08 16:02
→ OscarShih:但至少google在重視了, 不能說因為目前機種少=沒意義你看看安卓手機幾億台,iOS也幾億台, 這哪會是問題..117F 11/08 16:05
→ ErnestKou:他就跟七哥一樣,沒啥好討論的,中心思想就是
iDevice 神一般存在,其他都是廢物119F 11/08 16:07
→ isoxxxxx:一堆人都只看得到人家戰安卓 戰蘋果戰很兇的都不管呢121F 11/08 16:12
→ isoxxxxx:還是蘋果就活該在這個板被講壞話 然後安卓就講不得123F 11/08 16:13
→ ErnestKou:我不會覺得講不得,但是你太OVER就這樣124F 11/08 16:14
→ OscarShih:就事論事吧, 又不是歐巴桑老是去翻仇恨薄扯到祖宗
你不覺得為什麼你會被那麼多人圍, 67哥還沒什麼事125F 11/08 16:14
推 Masini1491:請大家支持Gggole Nexus手機,這隻手機不會有這問題喔127F 11/08 16:19
推 ErnestKou:iOS 東西就是那麼貴,窮人買不起
現在3~4K都能買到勘用的手機跟平板了128F 11/08 16:20
推 kblover:iso跟七哥就同一個人吧我看130F 11/08 16:21
→ ErnestKou:這就像你跟大家說國產車安全性有多差有用嗎?131F 11/08 16:21
推 cowranch:安卓要安全可以靠使用者習慣,總比ios集中用戶個資,放在伺服器任人玩好132F 11/08 16:29
→ KOBER81:我卓是正義之師 豈是你能拿來說嘴的?134F 11/08 16:35
推 iPhonePro:用戶註冊Google play的資料也是在伺服器135F 11/08 16:39
推 sh028044:愛鎖哥好激動(///▽///)136F 11/08 16:41
推 asd2260123:apple id 表示 說是這樣說雖然沒被盜但我還是改密碼惹137F 11/08 16:42
推 Joey452:Android幹麻把手機搞得這麼復雜?139F 11/08 16:44
推 jeano:apple被盜成這樣還來笑android XDDD141F 11/08 16:49
推 Joey452:自由自在的取用個人資料?142F 11/08 16:55
推 Simman:推文很多亂講,真是歡樂143F 11/08 17:05
推 Joey452:很可悲,手機被當作散播工具卻混然不知144F 11/08 17:08
推 BIGETC:政治也不該搞複雜 給人統治就好 自由是混亂根源
喔說錯 是給神統治!!!145F 11/08 17:15
推 cash35:活在叢林最自由,不用管法律能活就好XD147F 11/08 17:36
推 rary369:完全自由的代價就是你如果沒有足夠的能耐,你連生存的保證都沒有148F 11/08 21:48
→ isoxxxxx:對呀 像是最近收到簡訊就會小額付款也是 好安全捏150F 11/08 22:09
推 ErnestKou:講個資的話都不要上網註冊最安全,FB也是蒐集一堆151F 11/08 22:10
→ isoxxxxx:對呀 google還會把你G+人頭拿去打廣告呢 這麼賣個資可真是前所未見 雖然還是很多人樂著賣152F 11/08 22:20
推 xiouming:iphone被盜都是自己使用大陸app154F 11/08 22:22
推 weltschmerz:有看過android使用者被盜? 呵呵 看看隔壁版的板標
iOS資安最佳了155F 11/08 22:29
→ isoxxxxx:android都被強制支付付費簡訊而已 這樣還算安全啦157F 11/08 22:34
推 weltschmerz:你不點又不會中 拿來跟iOS比 根本懶覺比雞腿阿 呵呵160F 11/08 22:49
→ ErnestKou:而且點了也不一定會重,還要裝APK耶161F 11/08 22:50
推 iPhonePro:安卓個資被盜=>使用者問題,iOS被盜=>爛公司爛資安在這類的人眼中講再多都多餘162F 11/08 23:36
推 WMX:3C產品也是信仰比功能重要的XD164F 11/08 23:37
→ iPhonePro:千做萬做蘋果就是邪惡,千錯萬錯google就是正義無私大神。165F 11/08 23:38
推 WMX:你相信iOS是神,他即使爆炸死了也會復活167F 11/08 23:38
推 weltschmerz:呵呵 跳針王 iOS上架這麼嚴格怎麼可能是使用者習慣不好咧^^ 當然是不明原因阿168F 11/08 23:40
推 iPhonePro:iOS有著不少缺點,但是推文中有許多謠言,講的信誓170F 11/08 23:40
推 WMX:現在連作業系統公司招牌都要當作是宗教在宣傳171F 11/08 23:41
推 siro0207:出了一件還沒調查出真相的爆炸 就可以拿來戰信仰了173F 11/08 23:41
→ iPhonePro:旦旦,對於這類事情講再多都是無益也無助。174F 11/08 23:41
→ weltschmerz:推WMX 他們沒有當宗教在宣傳 只是自然會有種信仰175F 11/08 23:42
→ weltschmerz:三星爆炸 沒真相>三星的錯 有真相>還是三星錯
阿不就雙重標準
給iPhonePro 沒有自打嘴巴阿^^還是你想要動資?177F 11/08 23:43
推 siro0207:我可沒主動去管三星爆不爆炸 請別把這雙重標準用在我身上180F 11/08 23:44
推 iPhonePro:動資動資?我對那類沒興趣,謝謝喔。
說是跳針王不是說假的啊182F 11/08 23:44
推 WMX:微軟失敗的地方就是從頭到尾都被認為是邪惡帝國184F 11/08 23:45
推 WMX:不像Apple 和Google 都有信徒阿186F 11/08 23:46
→ weltschmerz:不過我承認我找18366只是雞蛋挑骨頭XDD 不要介意
微軟綁政府(抖) 這個無解189F 11/08 23:48
--