避開 Android 權限機制:您應該知道的事

趨勢科技 TrendMicro

Android 裝置的權限機制設計,是為了讓未事先宣告並取得權限的 App 程式無法做出任何可能傷害裝置的行為。但真的是如此嗎?

Android 權限機制的運作方式

在深入探討進一步細節之前,讓我們先來看看 Android 的權限機制如何運作。

Android 的 App 程式對系統資源的存取是受到管制的。要存取一些敏感的應用程式介面 (API),App 程式首先必須在 AndroidManiflest.XML 檔案當中宣告它所需要的權限。這些所謂敏感的 API 包括了相機功能、GPS 定位資訊、藍牙與電話功能、SMS/MMS 簡訊功能,以及網路/資料連線功能。

在安裝 Ap 程式時,程式安裝器 (App Installer) 會將這些程式宣告的權限顯示給使用者看,由使用者決定是否要接受並安裝該程式。

在安裝 Ap 程式時,程式安裝器 (App Installer) 會將這些程式宣告的權限顯示給使用者看,由使用者決定是否要接受並安裝該程式。
在安裝 Ap 程式時,程式安裝器 (App Installer) 會將這些程式宣告的權限顯示給使用者看,由使用者決定是否要接受並安裝該程式。

若使用者決定接受,那這些權限就永久授予給該程式,直到它解除安裝為止。執行時,系統不會再通知使用者這些程式正在使用一些敏感的 API。反之,若使用者決定不接受,那應用程式就無法安裝。

假使有某個 App 程式嘗試使用這些受保護的功能卻未事先宣告,系統在執行該應用程式時就會出現安全性錯誤,並終止應用程式。

假使有某個 App 程式嘗試使用這些受保護的功能卻未事先宣告,系統在執行該應用程式時就會出現安全性錯誤,並終止應用程式。
假使有某個 App 程式嘗試使用這些受保護的功能卻未事先宣告,系統在執行該應用程式時就會出現安全性錯誤,並終止應用程式。

在這樣的設計下,要避開權限機制似乎不太可能。但不幸的是,一些聰明的程式設計人員就是有辦法開發出一些能避開這些權限機制的 App 程式,方法就是濫用某些功能。

濫用預設瀏覽器來上傳資訊

在 Android 系統中,一個 App 程式可以呼叫另一個 App 程式的元件,然後透過一個名為「Intent」的抽象資料結構來描述其所要執行的作業。每一個 Intent 資料結構當中都包含了要執行的動作,以及執行該動作需要的資料。當一個 App 發出一個 Intent 時,行動裝置作業系統會選擇一個適合的應用程式來處理該資料。

例如,一個內含「Intent.ACTION_VIEW 」這個檢視動作的 Intent,再配上「Uri.parse(“https://www.google.com”)」這串資料,就代表該 App 程式希望檢視 Google 首頁。當此資料結構傳出來時,作業系統會決定該啟動哪個瀏覽器。

在這樣的設計之下,意圖不良的程式開發人員,就能在自己的 App 程式當中透過一個 Intent 資料結構來開啟一個瀏覽器並將竊取到的資料上傳至遠端的某個伺服器。譬如,惡意 App 程式想要將裝置的識別碼 (Device ID) 傳送至位於 https://example.com 的伺服器,其 Intent 內容將如下所示:

惡意 App 程式想要將裝置的識別碼 (Device ID) 傳送至位於 https://example.com 的伺服器,其 Intent 內容如圖
惡意 App 程式想要將裝置的識別碼 (Device ID) 傳送至位於 https://example.com 的伺服器,其 Intent 內容如圖

由於是透過瀏覽器來開啟這個網址,因此,惡意 App 程式自己根本不需宣告 android.permission.INTERNET 網際網路使用權限,因為瀏覽器已具備這個權限。

由於是透過瀏覽器來開啟這個網址,因此,惡意 App 程式自己根本不需宣告 android.permission.INTERNET 網際網路使用權限

繼續閱讀

八個令人無法苟同的雲端迷思

趨勢科技 TrendMicro

作者:趨勢科技雲端安全副總裁Dave Asprey

這裡是精心整理過的雲端(或非雲端)公司最常見也最令人厭惡的行銷錯誤。

1)雲端洗腦將所有雲端的東西講在一塊。

你指的是PaaS、SaaS、IaaS還是私有雲…或者只是在說虛擬化?你家小孩買魚的水族館線上購物網頁也算是「雲端水族館管理」嗎,應該不是吧。

2)忘記企業也有雲端技術。
跟著我說一次:公共雲並不是唯一的雲端技術。私有雲是真實存在的。

3 )認為雲端並不安全。

呃,你是在說哪種雲端技術?自己管理的私有雲?Gmail?你知道自己真正需要的安全性等級?還是可用性對你來說比較重要,而你擔心安全問題會導致服務中斷?具體一點。而且如果你做得好,大多數雲端技術都可以很安全。

4)認為雲端技術就是高可用性。

現在的雲端技術行銷人員忘了數數字。就是去數9等級。雲端技術平均只有三個9(99.9%的可用性)。有良好架構的傳統企業基礎設施可以達到五個9(99.999%)。雖然我們使用雲端技術,但請記住:雲端技術並不是一個災難回復(DR)策略。 繼續閱讀

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

趨勢科技 TrendMicro

每個小型企業都應知道的五件關於網頁威脅和網路犯罪的事

對於網路犯罪者來說,沒有任何企業會太小而不值得花費力氣。小型企業雖然不像一般大企業那麼受人矚目,但小型企業也無力承擔輕忽網路犯罪威脅的代價。儘管外界流傳著小型企業對這類安全威脅免疫的說法,但現在該是正視問題的時候了。

1. 任何企業組織,不論規模大小,都可能成為網路犯罪的受害者。

大多數的小型企業都不相信自己會成為網路犯罪的目標。根據 Visa Inc. 與 National Cyber Security Alliance 一項針對 1,000 位小型企業老闆的調查,有 85% 的老闆相信大型企業比他們更容易成為目標。超過一半 (54%) 的受訪者有自信他們的準備比大型企業更充份,更有能力保護公司與客戶資料。小型企業或許會認為:網路犯罪通常不是鎖定很大的企業,就是鎖定一般消費者,因此自己不可能成為歹徒的目標。然而,事實上,只要是有利可圖而且利潤豐厚,網路犯罪者才不管是超大型企業、小型企業或一般消費者。他們對任何目標都一視同仁。只要是系統存在著安全漏洞,任何目標對網路犯罪來說都是一樣的。

2. 小型企業同樣也擁有網路犯罪者所感興趣的資訊。

小型企業或許會認為他們的內容安全威脅並不像大型企業那麼嚴重。但事實上,根據 Council of Better Business Bureaus 在 2010 年 5 月所發表的研究,7.4% 的小型企業老闆都曾經遇到網路詐騙。

小型企業同樣也擁有員工和客戶資訊,因此就各方面來說,同樣也是網路犯罪的重要目標。從身分證號碼到網路銀行帳號密碼都是歹徒所覬覦的資料 (完整的失竊資料排名請參考下圖)。

小型企業同樣也擁有網路犯罪者所感興趣的資訊

小型企業同樣也擁有網路犯罪者所感興趣的資訊

3.網路犯罪者平均每一秒釋出 3.5 個專門攻擊小型企業的新威脅。

根據報告指出,專門針對小型企業的網路攻擊數量在 2010 年初竄升了 600%。趨勢科技的專家表示,此現象的背後至少有兩項因素。首先,規模較大的企業皆已投入更多資金來加強網際網路安全,迫使網路犯罪者將目標轉向同樣有利可圖的小型企業。其次,小型企業數量龐大,光是美國境內就有超過 2 千 5 百萬家小型企業。除此之外,小型企業還有一項吸引網路犯罪者的原因,那就是小型企業沒有足夠的預算可以聘請專門的 IT 團隊,更不用說成立專責部門,來維持資訊安全。

曾經有小型企業因為遇到網路犯罪而損失數十萬美元,而歹徒所用的工具就是 t僵屍網路/傀儡網路 Botne 程式。Bot 程式是一種會暗中潛入個人電腦的惡意程式,一旦潛入,歹徒就能從遠端遙控電腦並竊取重要資料而不被員工或客戶發覺。

2011 年 1 月,美國聯邦調查局 (FBI) 在一份報告中指出,有一家美國企業因為觸發了電子郵件所挾帶的惡意程式而自動從銀行帳戶轉出了 15 萬美元給歹徒。該惡意程式就是 ZeuS/ZBOT 家族的木馬程式之一,此惡名昭彰的惡意程式家族專門詐騙小型企業。

趨勢科技TrendLabs 的專家也曾見過專門針對小型企業而設計的網路釣魚Phishing攻擊和漏洞攻擊。這類詐騙經常利用一些稅務相關的電子郵件,並且假冒政府機關的名義,其手法通常是利用客戶投訴或威脅採取法律行動來引起被害人恐慌。而漏洞攻擊則是專門攻擊常見合法應用程式的漏洞。

只要小型企業能確保每一位員工 (不論技術程度如何) 都能隨時掌握網路犯罪的最新動態,就更能防範上述攻擊。企業應該教育員工有關最新的詐騙手法,鼓勵員工養成良好習慣,例如:只要是來路不明的可疑郵件,千萬不要回覆,也不要開啟附件檔案,更不要點選其中的連結。此外,小型企業最好能貫徹一套內部安全政策來強化其網路安全與銀行交易作業原則。最後,小型企業也必須時時提高警覺,小心防範可疑的網路活動,並且做好應變的準備,以防萬一真的遭到歹徒入侵。

 

4. 儘管遵規需要高昂的成本,但未遵守法規的可能代價更高,而且讓網路犯罪有機可乘。

並非所有的小型企業都已意識到遵規的問題。有些甚至認為自己的企業已經符合法規要求,並且已做好安全措施。然而,根據 2011 年發表的一份中小企業 (SMB) 資料安全與詐騙預防策略調查顯示,美國有將近一百萬家小型企業皆曾經是資料安全詐騙的受害者。

不遵循法規的結果,最終可能導致生產力損失、業務中斷以及高昂的法律成本。對於跨國性的企業來說,遵規的成本大約在 350 萬美元之譜5,相對於不遵循法規的潛在損失,這只不過是小小的代價。小型企業如果以為自己不必遵守資料保護法規,那就大錯特錯。如同大型企業,小型企業也需處理人員、流程與技術的問題,而這些層面的網路犯罪威脅與大型企業沒什麼不同。

5. 小型企業正逐漸邁向雲端,也開始擁抱雲端安全,但網路犯罪者也不是省油的燈。

雲端運算已經不再是一種口號,而是既成的事實。今日中小企業整體雲端市場價值大約在 86 億美元左右6 ,而且在 2014 年將達到1,000美元之譜。此外,高達 74% 的中小企業打算在 2011 年提高他們的雲端式軟體支出,這一點比 2010 年底的情況明顯大幅增加,而當時中小企業採用雲端運算的比例大約只有 14%。

小型企業正逐漸邁向雲端,也開始擁抱雲端安全
小型企業正逐漸邁向雲端,也開始擁抱雲端安全

繼續閱讀

小型企業的雲端之路,到頭來還是回到原點

趨勢科技 TrendMicro

作者:Greg Boyle 趨勢科技全球產品行銷經理

許多小型企業到目前依然對雲端運算抱持著懷疑的態度。他們懷疑雲端運算是否能在不招來嚴重風險的情況下提升他們的獲利能力。首先,讓我們來定義一下小型企業所謂的雲端運算。一般大家所認知的雲端運算有兩種:其一是軟體服務 (software-as-a-service),其二是基礎架構服務 (infrastructure-as-a-service)。
所謂的軟體服務 (簡稱 SaaS),就是將您平常辦公室所安裝的軟體改從網際網路來供應。有時候也稱為「代管」。

你已經進入了雲端世界

最常見的就是客戶關係管理 (簡稱 CRM) 系統。去年,全球有 26% 的 CRM 支出已經移轉到 SaaS 上,而且此一比例預計在 2015 年將成長至 33%
而基礎架構服務 (簡稱 IaaS) 則是您向廠商租用資料中心的伺服器來執行您的 IT 環境,而不需自己購買硬體設備。最常見的 IaaS 範例就是網站代管服務。
此外,您可能還會聽到「公共雲端」或「私人雲端」這兩個名詞,簡單來說,公共運端就是將共用的運算資源放在您的企業外部,透過網際網路來存取。而私人雲端則是在您自己的公司內部建立一個資源共用基礎架構,然後透過內部網路服務公司內的所有使用者,而不在每一台使用者電腦上安裝軟體。

近十年內成立的小型企業一開始就是雲端的使用者

許多近十年內成立的小型企業,其實一開始就是雲端的使用者,只是企業並未意識到這點而已。這麼說並非故弄玄虛。我指的就是電子郵件和網站。
當新公司成立時,老闆採購了電腦之後的第一個想法,通常都是「設定一個電子郵件信箱」,再來就是「架設一個公司網站」,至於「購買一台伺服器」,則不是最優先的考量。事實上,90% 的小型企業都沒有自己的伺服器。
那麼,小型企業的電子郵件和網站由誰代管? 一般來說是他們的網際網路服務供應商 (ISP),這通常都隨附在寬頻網路連線套餐之內。基本上,這類由公共雲端所提供的應用程式與共用資源,就成了小型企業的 IT 基礎。 繼續閱讀