顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-12 21:53:17
看板 Gossiping
作者 IloveBlack2 (我愛花媽花媽愛我)
標題 Re: [新聞] Google Play Store 爆重大漏洞!所有 And
時間 Fri May 12 21:37:10 2017


※ 引述《hn9480412 (ilinker)》之銘言:
: Google Play Store 爆重大漏洞!所有 Android 版本皆受影響!
: 文/記者劉季清/ 2017-05-12 17:43
: Android 用戶小心!國外資安公司 Check Point 出具報告指出,最近發現 Android 作業
: 系統出現一款嚴重漏洞,會導致使用者曝露在一系列的惡意程式攻擊之下,包括發送勒索
: 軟體、廣告軟體等。可怕的是,Google 需要到新版的 Android O 作業系統釋出後這個問
: 題才會被改善。
: Check Point 的資安報告指出,Google 在 Android 6.0 作業系統中引進了一個全新的
:  App 權限模式,不過因為該權限介面獨立在 App 之外,導致許多用戶沒辦法手動允許權
: 限的請求。後來 Google 為了解決問題,就在 Android 6.0.1 系統中更改權限設定,讓
: 任何來自 Google Play Store 的應用程式預設為開通權限。
: 不過,這樣的做法卻導致 Android 裝置曝露在危險的攻擊之下,包括詐騙廣告、釣魚攻
: 擊、勒索軟體、木馬程式等。Check Point 調查報告指出,約有 74% 的勒索軟體、57%
: 的惡意廣告軟體以及 14% 的銀行惡意軟體(banker malware)都是透過此一漏洞執行。
: Check Point 表示,在發現此一漏洞之後,就已經跟 Google 回報。但 Google 表示這一
: 漏洞會在最新的 Android O 作業系統內修復。不過目前 Android O 作業系統尚未正式發
: 表,只有 BETA 測試版;就算發表之後,還要經過各家手機廠商的測試才會正式推送。
: Check Point 建議,在 Google 推送新的 Android 作業系統之前,建議使用者要提高警
: 覺,就算是從 Google Play Store 下載的應用程式都要張大眼睛仔細看看是否要求過多
: 權限,也可以先閱讀一下其他使用者對該 App 的評分,以策安全。
: http://3c.ltn.com.tw/news/30138
Google Play Store 爆重大漏洞!所有 Android 版本皆受影響! | 自由電子報 3C科技
[圖]
[圖]
Android 用戶小心!國外資安公司 Check Point 出具報告指出,最近發現 Android 作業系統出現一款嚴重漏洞,會導致使用者曝露在一系列的惡意程式攻擊之下,包括發送勒索軟體、廣告軟體等。可怕的是,Google 需要到新版的 Android O 作業系統釋出後這個問題才會被改善。 ...

 
: 還好我都用iOS
在Andoroid SDK 22 (含)以前時,App的權限都是在最一開始安裝時整套授予的,

要不你就安裝,然後同意授予此App所有權限;

你不同意所有權限,那你就不要裝,掰。



Andoroid SDK 23 新增了 AppOpsManager,

利用AppOp方式控管兩大一小類權限,


兩大類為:
- Normal permissions:安裝時直接授予。
- Dangerous Permissions:預設關閉,Apps開啟時可單一或多項詢問。


一小類為:
- Special Permissions:必須發送一個Intent,讓使用者自行至設定開啟。

而這一小類目前只有String OPSTR_SYSTEM_ALERT_WINDOW (重疊圖層)
                與String OPSTR_WRITE_SETTINGS (修改系統設定)



Android 6.0.0 剛推出時,有兩個情況:

一、App開發者把重疊圖層權限忘了或不知道要跟上,
    導致很多地方回傳Null,App就卡住或者崩潰。

二、使用者每安裝一個需要圖層權限的App,就必須要至設定更改,很煩。


所以6.0.1時,谷哥大神為了不給使用者帶來麻煩,

在下載安裝時把SYSTEM_ALERT_WINDOW自動允許開啟了,

就類似對Normal permissions的方式那樣。



好,看到這邊你有沒有覺得這是個「漏洞」呢?

在我個人認為,其實基本上算是個「隱藏風險」,而不算個「漏洞」。



CheckPoint前幾天指出的這件事,

其實早在6.0.1出來後很多人就反映過,

谷哥大神也認為這不是個漏洞,

畢竟你從Google Play按下安裝時會跳出視窗,

跟你說你安裝的這個App會使用甚麼權限,

你自己要按下確定的呀,簡單來說這就是誘姦?


反正使用者還是可以自己到設定去把特定App的權限關閉,

所以7.0出來後,當然也不會因此而有改變。



那有些人就會說啦:

「可是CheckPoint訪問谷歌,谷歌說安卓8有針對這個問題改善耶!」


我直接了當跟你說,沒有,這個問題沒有改,

只是加了兩個東西進去。

一、int TYPE_APPLICATION_OVERLAY:依然要請求SYSTEM_ALERT_WINDOW,所以根本沒差
呀。

二、Overlay Notification:在通知欄多出了「某某程式正在最上層顯示」。


基本上比較有幫助的是第二點,

因為以前你同意了重疊圖層的權限,

他如果是透明的,你根本不知道他正在跑。


安卓8之後,在通知欄跟你說誰正飄在上面,

如果你不想看到也可以選擇隱藏。




題外話:

對於SYSTEM_ALERT_WINDOW其實最安全的是小米,

MIUI在很早的時候就封殺SYSTEM_ALERT_WINDOW,

有一陣子App收到很多使用者的問題回報,


一看居然全都是小米手機。


後來抽絲剝繭才發現重疊圖層直接被MIUI擋住,

MIUI就這樣給你預設擋,阿也不跟你說擋了,沒半個人知道發生甚麼事。


所以後來有很多人乾脆趁機直接改用Type_Toast,

就是系統中有時候會出現在螢幕上一個小小的黑色橫條,

因為在SDK 19後Toast也可以做到跟Alert_Window做到類似效果,

只是接收其他觸控事件。





好最後有點跑題了,簡單說結論:

一、這在我認知不是個漏洞。
二、如果你認為他是漏洞,就算安卓8也還是不會改。
三、如果你認為他是漏洞,你自己就可以關掉補洞了。



















--
車禍實錄、各類訊息、影片翻譯、志工服務
更多第一時間的第一手消息
就觀看一百五粉絲團!
https://www.facebook.com/YiBaiWu

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.227.42.20
※ 文章代碼(AID): #1P5RgCBZ (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1494596236.A.2E3.html
jccat: 其實小米領先全球1F 05/12 21:39
hijkxyzuw: 嗯嗯,和我想的差不多。2F 05/12 21:42
g5637128: 推解釋3F 05/12 21:43
pineaplz: 我早就警告過了啊4F 05/12 21:43
jetalpha: 推說明5F 05/12 21:43
hinajian: 推解說6F 05/12 21:44
Peter521: 嗯嗯,我也是這樣想7F 05/12 21:45
panda816: 身為文組 我很抱歉8F 05/12 21:45

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 196 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇