1. 聚能聊>
  2. 话题详情

从女神手机被盗号,聊聊移动安全我们的更该关注什么?

故事开始的地方

随着互联网进程的加速,移动互联网作为互联网的新生代载体,充斥在我们工作和生活的方方面面。但这个领域的安全却很少被人提及,显得有一些神秘。
一方面随着Root和特殊定制的移动设备越来越多,加上某些平台不允许对App进行加壳等保护,移动端的安全问题日益加剧。黑客和不法份子在几天甚至几小时内便可攻破App,获取甚至篡改数据;另一个方面,App作者花重金打造的资源文件(图片、音频、视频等)被盗用,出现在其他未授权的场景。因此端安全的问题也逐渐被大家提上日程。

安全案例(转自droidsec 有改动)

0x0 Start

某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自己电脑旁边连上手机,女神在一边呆呆的看着IT男敲了几行代码然后在手机上点了几下,最后果然两分钟不到就搞定了,在女神谢着离开后,IT男露出了WS的笑容。
screenshot

没错,他成功了盗到了女神的帐号,终于不用问同事女神的帐号是多少了~当然这不是结局,一天晚上睡觉时,他看了女神的私信后心突然碎了。

到底发生了什么,这背后有啥不可告人的秘密?且看本文详细分析。

0x1 漏洞背景

在谷歌2010年发布Android 2.2 Froyo (冻酸奶)系统中,谷歌引入一个了系统备份的功能,允许用户备份系统应用和第三方应用的apk安装包和应用数据,以便在刷机或者数据丢失后恢复应用。第三方应用开发者需要在应用的AndroidManifest.xml文件中配置allowBackup标志(默认为true)来设置应用数据是否能被备份或恢复。

当这个标志被设置为true时应用程序数据可以在手机未获取ROOT的情况下通过adb调试工具来备份和恢复,这就允许恶意攻击者在接触用户手机的情况下在短时间内启动手机USB调试功能来窃取那些能够受到AllowBackup漏洞影响的应用的数据,造成用户隐私泄露甚至财产损失。

使用反编绎工具JEB查看客户端manifest配置:

screenshot

在之前的案例正是因为安卓客户端(最新版)AndroidManifest.xml并没有配置android:allowBackup=“false”,导致女神手机中的客户端数据可以在短时间内通过ADB调试备份到电脑中最后恢复到IT男手机,然后IT男以后每天就可以用女神的帐号看女神发了啥私信内容。

0x2 故事的后续

当然可利用的场景当然不止于此,想想,如果存在漏洞的是团购应用呢(看看有啥团购券我先来用吧),对了连通讯录,社交和理财应用也不能放过(女神们还敢把手机给IT男清理不)。

0x3 后续的后续

对于端和安全,大家有什么想聊聊的呢?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    淘公仔 x 3

  • 奖品二

    虾米VIP季卡 x 2

  • 奖品三

    优酷VIP季卡 x 1

74个回答

3

元芳 已获得虾米VIP季卡 复制链接去分享

楼上认为少要点用户信息和手机应用权限少点还是安全的,特别是别ROOT。
但是现在的安卓手机,部ROOT的话里面的自带APP还真是令人讨厌,尤其是那些开机自启动的。

我自己的手机是必须要ROOT的,而且每隔几个月都得更换或者重置一次系统,就怕有信息泄漏的风险。

话说回来,手机权限和安全其实很多时候是矛盾的。
开权限吧获取隐私信息的几率会增大,不开吧,很多时候又不方便。

借这个话题,想问问专家,手机该怎么用才安全???

准备弃用的手机又该怎么做才能确保里面的信息不会被泄漏出去呢???

鬼才神兵 回复

数据擦除

元芳 回复

据说格式化的手机仍能恢复数据。

聚小编 回复

不懂技术啊,随便聊聊。个人觉得安全是相对而言的,没有100%的安全,只有如何做相对更安全一些。安全这事儿,有安全工具、安全服务固然是好的,但同时也需要每个人提高安全意识。尽量从正规渠道获取信息,少用不知出处的软件或APP。还有...就是不要相信程序猿,哈哈!

虎钤 回复

最后一句话亮了,为你的安全意识点赞!

虎钤 回复

分享一下我的做法吧,欢迎大家拍砖。
手机存储卡和手机卡拔除后,首先恢复出厂设置,然后连接电脑,往手机里写无用的数据写满(一定要写满)。最后再恢复出厂设置一次。这样基本靠还原数据来窥探你的信息就可以堵住。

devilmc 回复

烧了 最直接 哈哈

元芳 回复
回复@虎钤:

重复写入一次,再被恢复的话就是恢复出来第二次写入的东西了是吧~
谢谢大神分享。

元芳 回复

你居然敢不相信程序猿?

聚小编 回复
回复@元芳:

汗...

johnnyhaonan 回复

阿里云服务器密码好破解吗?

johnnyhaonan 回复

阿里云服务器密码好破解吗?如果被别人破解怎么才能查出元凶?急,谢谢!

虎钤 回复

首先你可以查查服务器的登录日志,如果没有线索的话建议提交一个工单,让售后和安全的同学帮您一起查询。

评论
2

dking 已获得优酷VIP季卡 复制链接去分享

android客户端安全,在4.4之前,可利用的漏洞很多,如短信验证码获取,Android源程序漏洞,JS等。在进入5.0后,获取短信验证码进行了加强,其安全性有一定的加强,各种木马,病毒要运行成功,需要一定的条件,尤其是各种手机厂商,如华为对获取手机验证码进行了限制。所以如今对于客户端的安全进入了数据时代,有数据就可以对数据进行大数据分析,利用图数据库进行反欺诈分析,单纯依靠挖掘Android原生漏洞,不是没有可能,只是现在的电信欺骗案例,大多是针对于社会工程学的欺诈。因此,如果利用大数据技术进行反欺诈分析,效果要比挖掘客户端的漏洞要好多。
另一方面,Android应用程序一般都经历过混淆加密,再者进行了加固程序,即使破解了加固,也要看得懂混淆的代码,所以在客户端上进行攻击有一定的难度。
因此我总结在移动客户端上的安全问题,总体上是对用户数据的分析,通过分析用户的行为特征,分析其社交网络行为,利用图数据库技术,大数据技术,就可以知道此用户的特征了。

虎钤 回复

安全加固可以提高攻击的门槛,基于大数据的业务风控才是安全的大招!

评论
1

波义耳 已获得虾米VIP季卡 复制链接去分享

现在的网络信息安全问题不容忽视,尤其是移动设备的信息安全泄漏问题尤为严重,所以我们要管好自己的个人信息不被泄漏就首先要管好自己的手机,未知链接不要乱点,不要随便连接不安全的公共wifi,还有最重要的一点是要把手机APP的隐私权限全部禁止。

虎钤 回复

基于wifi的攻击越来越多,用未知wifi千万要小心。

评论
1

我的中国 已获得淘公仔 复制链接去分享

APP问题很多的,第一个分析程序可以看到一些APP的信息,然后抓包分析上传,通过一些信息的收集进行端口、目录、robots、弱口令、旁站、等方式拿到普通或者管理后台进一步提权,从这里首先就是APP自身安全问题和使用的安全协议,其次是对内部和外部密码授权的安全验证,以及登录界面的验证和跨目录的验证不能仅仅JS就行了,有的手机还偷偷上传什么缓存这些COOKIE这些玩意被整有的也出现过,即使你设置了内网IP访问也是可以绕过,这些就需要技术人员去解决了。我自身感觉少要点用户信息和手机应用权限少点还是安全的,特别是别ROOT。

虎钤 回复

所以装APP的时候看清楚权限也很重要。另外APP自身应该做一些技术处理,防止黑客通过简单手法窥探内部信息。

评论
0

寒喵 复制链接去分享

想知道故事接下来怎么样了

聚小编 回复

女神换了iphone7~~~

思奇 回复

发生什么事,太复杂搞不懂

虎钤 回复

可以期待一下哦~~我借这里打个广告 =ω=

评论
1

keller.zhou 复制链接去分享

我是一名移动端开发者,android ios 都熟悉。这几年谷歌,苹果,公司对安全有这前所未有的提高,但都是从技术方面考虑的,比如权限更严谨等。但在这个互联网时代,很多人的思想还是比较落后的,对手机安全操作。完全是一张白纸。没有半点危机感!比如,密码简单,轻易安装流氓软件,轻易打开木马脚本。。。。

虎钤 回复

提升用户的安全意识是需要教育成本的,非短时间可为也。
但是作为一名开发者,能将眼见的安全做好那也是极好的!

评论
1

我的中国 复制链接去分享

另外楼主的这个也真坑,除非设置应用不能访问,不然我要是可以读取信息直接取证就好了,啥都有了

虎钤 回复

其实稍微加密处理一下就可以收到比较好的效果,特别是和机器指纹一起关联。这样就没办法简单复制获取数据了。

评论
0

baikapala 复制链接去分享

我就一屌丝,窃取就窃取吧。没钱没长相更没老婆。

虎钤 回复

梦想还是要有的,万一实现了呢!

评论
1

1235243970807381 复制链接去分享

除非解决app不允许就不能用的霸王条款问题

1

aaaaaavvvvv 复制链接去分享

任何事物都有两方面性,加密太深使用不方面,使用方方便然后安全破解又太容易

1

云使者魔 复制链接去分享

女神手机被盗号,管不管女神了,信息泄露在今天很常见。其实现在很多手机app信息传输仍使用http。http明文协议的缺陷是导致数据泄露、数据篡改等的重要原因。现在很多公共场所都会开放wifi供用户使用,但是这些wifi是否安全?实际上很多人都不会在意,发生在咖啡厅等场所信息随意窃取事件屡屡发生,在公共wifi下手机等联网设备的安全风险很高,尤其是取得最高权限的安卓手机。现在通过年轻手机用户基本也不太注意信息安全,何况是父母辈的用户呢?这一点是很头疼的,本来信息的发展带来的便捷舒适是值得父母去享受的。比如我妈,从反感大屏智能机到现在能熟练的使用微信聊天、发红包等,为了和好友玩红包还特地绑定了银行卡。转转鲤鱼等就比较合理了,但是我担心的是有些莫名携带钓鱼链接的短信。信息时代安全意识的培养特别重要,用户层面至关重要,如同父母讲在外最好不连接公共wifi和短信验证码的重要性等。再说开发者层面,“互联网上的一切都应该默认被加密”,来自Jeff Atwood的观点。现在全世界网联网开发者都趋于使用https,加入了SSL/TLS协议的https将实现互联网加密可信的访问。希望之后https使用的普及能有效降低信息泄漏风险吧。

1

1337979615764324 复制链接去分享

不root保持手机应有的安全性
别老想着ROOT后感觉很高科技一样
不熟悉就不要做这些事情

1

iznauy 复制链接去分享

安卓系统根深蒂固的问题。安卓存在一天,这个问题就有一天。

1

阿曾admin 复制链接去分享

根源无法改善的情况下那就在传输层面多做安全把控和垃圾过滤吧.整个网络环境都充满了危险.网络套路深...这个世界最干净的网络环境应该在曹县了吧.

1

1661479381103924 复制链接去分享

把自己信息保密

0

元芳啊 复制链接去分享

能否远程操控锁定手机?

鬼才神兵 回复

这个还真可以😄

元芳啊 回复

但是这个功能才做起来有很多的限制,比如没网了怎么办?

评论
0

1095088521834810 复制链接去分享

学习

0

聚小编 复制链接去分享

现在才知道,手机好不安全哦。

0

1880585314946125 复制链接去分享

能够盗取个人资料的人,其实都是公司内部的人,也也许是个别技术黑客所为,

0

影像思维者 复制链接去分享

安全就是手机跟实名字,电脑是地网,手机是天网,这个现实是公示用的当保密,只有这样才能手机电脑相连,不登录能相通不就没事了。

4