码农不得不重视的问题.docVIP

码农们不得不重视的问题 摘要 随着Android手机日益深入人们的生活，手机应用也出现了百花齐放的局面。无论是生活应用还是金融支付或是游戏类，都已经驻扎进我们的手机了。但是，我们的应用安全吗？ 今年六月初，《2015年第一季度移动安全报告》出炉了，报告显示，安卓移动应用平台，16个行业TOP10应用共有4775个漏洞，平均每个应用有30个漏洞。4775个风险漏洞中，44%属高危漏洞、56%属中危漏洞，显示热门应用安全漏洞不乐观。其中金融、游戏、网购行业TOP10应用平均漏洞为34、15、34个。 由于开发者在开发的过程中可能出现的安全意识薄弱，亦或者是因为遗漏加密，导致自己辛辛苦苦开发的应用上线以后被重新编译、二次打包。更令人担心的是，在这些发布盗版应用的人中，有部分居心不良者存在，通过这些应用传播针对Android系统的木马病毒。 当木马被激活后，它会在后台偷偷收集大量信息，包括：地理位置坐标、设备识别码（IMEI）和用户识别码（IMSI），每隔5分钟就会尝试连接木马内嵌的几个远程服务器地址，连接成功后就会将收集到的信息发送出去。目前针对该木马的代码分析正在进行中，已知该木马具有下列功能： ·发送位置坐标 ·发送设备识别码（IMEI和IMSI） ·下载并提示用户安装应用程序 ·提示用户卸载应用程序 ·收集已安装的应用列表并发送到远程服务器 大家可以看看这款apk文件（图1）出现的哪些漏洞： 对于APK的权限，大部分用户或许在安装apk已经有所注意，但是对于一些敏感的权限可能还不够关注。 这里我们主要介绍两种需要大家留意的权限：涉及隐私类、涉及系统安全类和涉及手机付费类 涉及隐私类 根据上面的权限，我们可以给手机apk文件做检测，测试出你手机apk文件健康指数。首先我们把手机应用的apk文件下载下来，上爱内测网站，进行文件上传与检测，下载检测报告后，报告里面会给你指出应用中出现了哪些漏洞需要修复。报告中其实很大的程度上告诉我们，所用的这个应用安全系数到底多大。 然而也请大家明白这样一点：并非有涉及此类“特别”的应用，我们就都不能安装了。 关键要确定这个应用本身有没有必要获取这个权限，这个应用的开发者是不是值得信任的。 我们始终相信玩Android手机的机友们都是手机用户中最聪明的，你们会很好的把握这个度。LBE本身也有禁用APK权限的功能，如果不放心来源不明的APK，可自己设置。 数据参考 图一数据出自爱内测（）检测报告