一、背景
2017年Windows平台出现WannaCry勒索病毒之后,加州大学的一名研究人员也发现了一个名为”Cloak and Dagger”的恶意软件,该安全问题出现在了全球手机操作系统占有率高达80%的Android上。它能够偷偷的写入到Android手机上,帮助黑客收集手机上的信息,甚至任意安装与操作应用而不被用户发现。
你是否有时会接收到一些推销电话或者是推送资讯,其内容正是自己最近正在关注的信息呢?注意,这说明你的信息可能已被泄露。信息泄露的原因有很多,可能是手机系统本身漏洞,也可能是用户的使用习惯导致。比如有些用户为了能够快速开始使用应用,直接允许了应用弹出的所有权限。
以上种种信息表明了Android手机的安全防护变得越来越重要。在Android系统中,应用对手机中可能不安全的数据进行操作时,需要配置相应的权限,即经过用户的许可,否则将无法正常使用。但是如果用户允许了,会不会被应用滥用而泄露隐私呢?Android系统通过应用权限设置对恶意程序的防御,但是怎么设置这些权限是用户比较头疼的问题。
本期“安仔课堂”,ISEC实验室的陈老师将从应用权限角度为大家介绍如何进行手机的安全防护。
二、案例介绍
在最近分析的一个恶意应用中,发现了其中拥有一些侵犯用户隐私相关的行为。
1.隐藏应用图标并伪装成应用已卸载状态,让用户误以为该应用已经卸载成功,放松用户的警惕,实际还在手机中偷偷的运行。
图1
2.设置为系统默认短信,增加了对短信模块利用时的便利。
图2
3.拦截短信并获取用户手机中的短信内容,并根据短信内容做出不为用户所知的行为。
图3
4.获取设备管理员的权限,之后将被用来删除所有文件,修改屏幕锁等操作。
图4
所分析的应用中,涉及用户隐私的地方不止以上几处,但足以说明了权限滥用问题造成的后果。如果能控制好权限,恶意程序就不会那么容易得逞。比如关闭管理员权限、禁止读取短信等权限。
三、权限的介绍
从用户角度来看权限,主要分为普通权限和特殊权限两类。普通权限最直观,通过权限的名称就能知道其用途,设置的路径方式也相对简单。特殊权限对于一般用户而言不易理解其作用,设置的路径也各有不同。
1.普通权限:
(1)理论上所有会弹窗申请的权限都属于敏感权限,都有可能导致用户信息被窃取,下面将详细介绍下各个权限涉及到的具体敏感信息。
发送短信/彩信
部分手机发送短信与发送彩信分为两个权限开关。允许这个权限后,应用将有可能向指定号码发送短信/彩信,用于注册账号等。所有的话费开销由应用所在的手机进行支付。
修改短信/彩信
部分手机修改短信与修改彩信分为两个权限开关。该权限将允许应用程序对手机中的短信、彩信进行新增、删除、修改操作。可被利用于伪造短信数据,删除短信数据等。
读取短信/彩信
这个权限将允许应用程序读取手机中的短信、彩信,被利用来收集手机上的短信聊天记录或读取验证码,注册或登录某些重要的网站造成不良影响和经济损失。例如用于读取短信验证码进行登录网银账户等。
监听电话
这个权限将允许应用实时监听来电、去电、挂断的时间、号码信息。
拨打电话
这个权限将允许应用程序直接拨打指定的任意号码。
修改联系人
该权限将允许应用程序删除、写入联系人。可被利用于添加联系人数据或删除联系人数据。
读取联系人
该权限将允许应用程序读取手机联系人信息。可被利用于收集手机上的联系人信息。
修改通话记录
该权限将允许应用程序添加、删除、修改手机中的通话记录。
读取通话记录
该权限将允许应用程序读取手机中的通话记录。可在用户手机上获取通话时间、号码、时长等信息。
位置
该权限将允许应用程序实时获取当前手机所在位置。将可被利用于获取用户的行动轨迹。
相机
该权限将允许应用程序进行拍照或录制视频。将被利用于偷拍或录制用户的所作所为。
录音
该权限将允许应用程序进行录音。包括录制手机周边、打电话等声音,将可被利用于窃听跟声音有关的一切内容。
读写手机存储
该权限将允许应用程序读写sdcard上的所有文件,若sdcard上保存有重要文件,将有被窃取的风险。
日历
该权限将允许应用程序查看、增加、删除、修改日历的活动事件,有收集用户活动计划的风险。
身体传感器
该权限将允许应用程序读取传感器的一些数据,可收集用户身体状态相关的数据。
获取浏览器上网记录
该权限将允许应用程序读取系统浏览器的浏览记录和书签数据。
(2)设置方法
上面这些权限都可以用以下的方法进行设置。
方式1
在应用安装过程中,个别手机也会有权限设置界面,比如在华为 AIE-AL10(P9plus)上安装应用为例。
1)安装完成后将弹出一下界面
图5
2)点击“主要权限”,即可进行逐个权限设置
图6
方式2
如果是已经安装好的应用,需要打开“设置”应用,找到应用程序,再找到对应的应用程序(不同的手机操作路径可能会略有不同)。
1)打开“设置”应用,点击应用管理
图7
2)选择要修改权限开关的应用
图8
3)点击“权限”
图9
4)设置权限开关
图10
5)也可以点击“设置单项权限”,进入设置权限开关
图11
方式3
使用系统自带的权限管理工具进行管理:如华为的“手机管家”,小米的“安全中心”,魅族的“手机管家”等。打开应用,点击权限管理,找到对应的应用进行权限设置。以华为手机管家为例:
1)打开手机管家,点击“权限管理”
图12
2)选择要设置的应用
图13
3)设置权限开关
图14
4)也可以点击“设置单项权限”,进入设置权限开关
图15
(3)小提示:
普通权限数量较多,不需要在意具体的有哪些权限,只需要记住设置的方式就一定能找到它们,之后把不影响应用重要功能的权限关闭掉。
2.特殊权限
(1)特殊权限属于比较特别的一种存在,功能强大,甚至会直接影响用户手机正常使用。下面详细介绍特殊权限相关内容:
辅助功能
部分手机名称为“无障碍”。该权限允许应用进行监听页面的变化、读取页面信息、模拟用户的各种操作等,可被利用窃取账号、聊天记录、远程操控手机等。 “Cloak and Dagger”就使用了该权限。
设置方式:打开“设置”应用->辅助功能/无障碍
默认应用
允许应用程序作为手机某一类型的默认应用,如短信、浏览器等,有伪造、收集信息,隐藏重要信息的风险。
设置方式:打开“设置”应用->默认应用设置
Root权限
该权限允许程序执行任何操作,也是最危险的权限。除了使用第三方软件supersu 或kingroot等软件开启,个别恶意软件也会利用手机漏洞持有该权限。部分手机设置里也有自带root开关,通过该权限有可能会被用来损坏手机系统文件,导致手机无法正常使用。
设置方式:打开“设置”应用->点击“指纹和安全”->”root权限”->勾选“同意”->点击确定即开启root权限。
电池优化
Android新版本为了节省电池电量,限制了应用在后台运行的能力。将电池优化状态设置为“未优化”,可以避免软件在后台运行时被系统清理。但这有可能会被一些恶意软件利用来偷偷监视手机的运行情况。
设置方式1:设置->应用和通知->高级->电池优化->未优化
设置方式2:手机管家->电池->锁屏清理
显示在其他应用之上
该权限允许应用程序将界面显示在其他应用之上,可被利用于伪造假的登录窗口,窃取用户账号信息等。“Cloak and Dagger”同样也利用了这个权限。
设置方式:设置->应用管理->选择对应的应用程序->应用信息
申请管理员权限
该权限将允许应用清除所有数据,修改屏幕解锁方式,设置屏幕锁加锁规则,监视屏幕解锁次数,使设备自动锁屏。恶意使用该权限,将有可能令用户无法正常使用手机。
设置方式:设置->高级设置->安全->设备管理器
小提示:
特殊权限一般不会自动开启,但有可能会弹出提示窗口让用户进行选择。当我们不确定一个应用权限是否需要开启时,优先选择“拒绝”。如果可以肯定一个应用权限是不需要开启的,就更需要拒绝它们了。就算不小心拒绝某个需要使用的权限,也不用担心,我们还可以通过上述的方法再次打开它们。
四、日常使用上的几点建议
1.应用使用方面
尽量在官方网站或者比较正规的应用市场下载软件。二维码扫描、他人分享的链接,论坛、云盘、不正规的网站等多存在被恶意伪装过的应用,需要谨慎下载安装。
在应用市场下载软件之前,可以先查看软件介绍中的权限要求,甄别哪些权限属于比较敏感的,遇到权限需求特别多的应用就需要特别注意防范。
不要轻易允许应用程序请求的所有权限,除非这些应用程序确实需要它们。比如一个相机应用请求拍照权限,属于正常的现象,没有拍照权限就会影响到它的正常工作。但如果它请求读写短信的权限,就属于比较奇怪的现象。
由于Android手机市场品种繁多,各个版本操作系统或多或少都有一些差别。比如:读取短信、彩信。有的手机上读取短信和读取彩信在同一个权限开关选项中,而有的手机读取短信和读取彩信则是两条不同的权限开关。再比如:辅助功能权限,低版本手机中没有,高版本的手机中有该权限开关。
2.手机设备方面
手机选购上尽量选择大品牌,大品牌的手机会对手机系统进行一定的优化,安全防护方面也会更有保证。不要选购水货的手机,虽然会比正版的便宜一些,但是水货手机系统的安全性难以保证,甚至有可能无法更新补丁,对用户的隐私保护增加了风险。
3.刷机rom方面
不要随意刷第三方rom。在遇到系统问题导致手机无法正常使用时,第一步进行数据备份,优先考虑售后或自己尝试恢复出厂设置进行修复。如果修复失败需要刷机,所选择的rom尽量使用手机厂商官网下载的rom。毕竟第三方平台多少都存在被修改的可能,我们不能确定他们修改了哪些内容。如果只是修复了漏洞还好,万一是预留了后门,或者写入了一些恶意软件,那么个人隐私就会受到相应影响。
4.系统版本方面
开启系统版本升级,尽量保持最新版本。每次升级厂商都会对手机系统进行一些优化,修复一些系统的潜在问题,使手机的安全性进一步提升。
5.其他方面
不要轻易连接不明的WiFi网络。在车站、商场等公共场所,我们时常会看到一些免费的WiFi,有的用户为了节省流量,将自己的手机轻易的连接到这些不明的网络上。如果所连接的网络是恶意共享的网络,那将有可能泄露自己的隐私。此外,也不要轻易连接公共场所的充电设备,因为你不可能知道你所连接的是一个插座还是一台黑客的电脑。最好的做法是长时间外出时,随身携带一个正规途径购买的充电宝。
五、总结
由此可见,正确的设置应用权限对Android手机的安全防护是非常重要的。通过正确的配置应用权限开启状态,这将有效避免绝大多数手机的安全问题。虽然涉及手机安全的因素还有很多,但对于大部分用户来说控制好权限状态就相当于将手机安全隐患降到最低了。
另外,Android系统还存在一些可能被恶意程序滥用的功能,比如隐藏图标、后台运行等。这些功能并没有为用户提供相应的权限选择,将可能给用户带来安全隐患。建议官方进一步完善权限机制。
最后希望通过本文权限的系统介绍,让用户对Android的权限有更好的理解。
安胜作为国内领先的网络安全产品及服务提供商,秉承“创新为安,服务致胜”的经营理念,专注于网络安全类产品的生产与服务;以“研发+服务+销售”的经营模式,“装备+平台+服务”的产品体系,在技术研究、研发创新、产品化等方面已形成一套完整的流程化体系,为广大用户提供量体裁衣的综合解决方案!
我们拥有独立的技术及产品的预研基地—ISEC实验室,专注于网络安全前沿技术研究,提供网络安全培训、应急响应、安全检测等服务。此外,实验室打造独家资讯交流分享平台—“ISEC安全e站”,提供原创技术文章、网络安全信息资讯、实时热点独家解析等。
2018年
承担全国两会网络安保工作;
承担青岛上合峰会网络安保工作。
2017年
承担全国两会网络安保工作;
承担金砖“厦门会晤”网络安保工作;
承担北京“一带一路”国际合作高峰论坛网络安保工作;
承担中国网络安保工作;
承担第四届世界互联网大会网络安保工作。
2016年
承担全国两会网络安保工作;
为贵阳大数据与网络安全攻防演练提供技术支持;
承担G20峰会网络安保工作;
承担第三届世界互联网大会网络安保工作。
2015年
承担第二届世界互联网大会网络安保工作。
不忘初心、砥砺前行;未来,我们将继续坚守、不懈追求,为国家网络安全事业保驾护航!
文章来源:ITBEAR