分類: 手機病毒/手機平板行動安全

12個最常被濫用的Android應用程式權限

趨勢科技 TrendMicro

Android應用程式需要權限才能正常運作。不過網路犯罪分子會將其用在個人私利上。來看看最常被要求的權限以及它們會如何被濫用。

Android 病毒

 

  1. 網路定位功能
    圖片來源:Evan-Amos / Wikimedia Commons / Public Domain

這代表什麼:允許應用程式透過網路定位(像是基地台或無線網路)來取得大概位置。應用程式開發人員可以用它從基於位置的廣告獲利。

它如何被濫用:惡意應用程式用它來發動基於位置的攻擊或惡意軟體。比方說,網路犯罪分子可以將俄羅斯的行動使用者導到惡意俄文網站。

需要此權限的應用程式:位置相關應用程式,打卡應用程式

 

  1. 全球定位系統圖片來源:George Hodan的「在地圖上的地方

 

這代表什麼:允許應用程式透過全球定位系統(GPS)和其他定位來源(如基地台和無線網路)來取得你的確切位置。跟網路定位一樣,GPS定位也可以用來讓應用程式開發人員從基於位置的廣告獲利。

它如何被濫用:惡意應用程式用它來載入基於位置的攻擊或惡意軟體。

需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式

 

  1. 看網路狀態

    圖片來源:Tim在雪梨拍攝的「尋找GSM網路」,透過創用CC署名2.0 通用條款使用

 

這代表什麼:允許應用程式檢查是否有手機網路連線(也包括無線網路)。應用程式需要網路連線來下載更新或連接伺服器及網站。

它如何被濫用:惡意應用程式用它來找出可用的網路連線,這樣才能夠執行其他動作,像下載更多惡意軟體或發送簡訊。惡意應用程式可以在你不知情下切換這些連線,吸乾你的電池或增加你的數據收費。

需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式

 

  1. 看無線網路連接狀態
    圖片來源:Jason Wilson的「無線網路符號」,,透過創用CC署名2.0 通用條款使用

這代表什麼:允許應用程式存取無線網路資訊,例如已設定的網路列表和目前使用中的無線網路 。

它如何被濫用:網路犯罪分子利用設備漏洞來竊取無線上網密碼和駭入你所使用的網路。

需要此權限的應用程式:瀏覽器應用程式、通訊程式

 

  1. 檢索執行中的應用程式圖片來源:Jason Howie的「社群媒體應用程式」,透過創用CC署名2.0 通用條款使用

這代表什麼:允許應用程式確認目前或最近執行的工作和每個工作所執行的程序。

它如何被濫用:網路犯罪分子利用這從其他執行中的應用程式竊取資訊。還可以檢查並「殺掉」安全應用程式。

需要此權限的應用程式:工作清理應用程式,電池監測應用程式,安全應用程式

 

  1. 完整的網路存取能力
    圖片來源:Blaise Alleyne的「網路開放」,透過創用CC署名2.0 通用條款使用

 

這代表什麼:允許應用程式連接網路。

它如何被濫用:惡意應用程式使用網路來連到它們的指揮中心或下載更新和更多惡意軟體。

 

  1. 讀取手機狀態和識別資訊需要此權限的應用程式:瀏覽器應用程式、遊戲應用程式、通訊程式、生產力應用程式

這代表什麼:允許應用程式知道你是否正在接聽電話或連接網路。也讓它們存取像是你的電話號碼、國際行動裝置標識(IMEI)號碼和其他識別資訊。應用程式通常用此來識別使用者而無需更多敏感資訊。 繼續閱讀

山寨版「Akinator the Genie」遊戲,現身Apple App Store

趨勢科技 TrendMicro

山寨版應用程式 –  新的 iOS 疑慮?

在威脅環境中,有時很難區分一件事物是否應該被視為威脅。當然,也有很明顯的威脅 (就是:惡意軟體), 但也有一些值得討論。其中一個例子就是「山寨版」應用程式或「惡搞版」應用程式。

顧名思義,「山寨版」或「惡搞版」應用程式有著類似其他應用程式的功能,甚至名稱。科技網站 Ars  Technica寫過一篇文章,強調了山寨版應用程式多快就能夠進入應用程式商店。上述文章所提到的是個照片剪輯應用程式,在2013年五月中上到 Apple App Store;在同年八月,有七個山寨版本出現在 App Store。

正版: 「Akinator the Genie」,  山寨版:「Akinator Genie」評價大不同

趨勢科技在 Apple App Store上發現另一個熱門應用程式 – Akinator the Genie 的惡搞版本。山寨版本稱為「Akinator Genie」,開發人員名稱是 Jennifer Mendeison,這人已經因為山寨應用程式而知名。使用者可以在  App Store下載這個山寨版應用程式。

圖1、官方的「Akinator the Genie」應用程式(上圖)和山寨版本(下圖)

這些應用程式的內容是相同的: 一個名叫「Akinator」的精靈會透過問幾個問題來猜測使用者在想什麼。原始版本會猜測真實或虛構的人物。而山寨版應用程式則是猜測形狀。  繼續閱讀

Android惡意軟體利用SSL來躲避偵測 

趨勢科技 TrendMicro

Android 病毒安全套接層協議(SSL)和它的後繼者傳輸層安全協議(TLS)都是設計來提供客戶端和伺服器之間有著安全加密的連線。為了進一步地進行身份驗證和加密,伺服器必須提供憑證。通過這過程,伺服器可以直接有效地證明其身份。

使用 SSL 連線,雙方可以確保通訊的有效性和安全性。這對某些服務來說非常有用,像是網路銀行、電子郵件、社群網路,它們需要建立安全通道來交換客戶端和伺服器間的資訊。

不幸的是,這項技術也成為了兩面刃。Android 惡意軟體現在會利用 SSL 來隱藏自身行為並且逃避偵測。

使用 SSL 伺服器

SSL伺服器已經成為Android惡意軟體的目標。惡意軟體可以使用下列三種之一的伺服器。

1.不知名自行管理伺服器 要使用不知名的自行管理SSL伺服器,惡意軟體作者需要建立自己的TrustManager(可以決定接受憑證)和 SSLSocket讓其惡意應用程式信任該伺服器憑證。建立自己的TrustManager和SSLSocker是必要的,因為惡意軟體伺服器憑證通常並沒有預設包含在Android作業系統中。這樣做通常需要更多的精力:當伺服器或網域變更時(通常是為了應對防毒偵測),SSL連線在驗證過程中可能會失敗。惡意軟體作者必須更新憑證和客戶端應用程式以重新建立連線。此外,使用自行簽發的憑證和固定的伺服器會被資安公司輕易而快速地偵測。所以只有少數惡意軟體利用這種方式也就並不令人驚訝。 繼續閱讀

AppLock漏洞,可變動 Google Ad 設定檔

趨勢科技 TrendMicro

我們之前討論過有些上鎖應用程式沒有適當的隱藏檔案。趨勢科技最近看到另一個上鎖應用程式 – AppLock 有相同的問題。只是這應用程式並不只是沒有隱藏好檔案,還包括了讓其他應用程式能夠變動它的設定檔。設定檔內包含了應用程式的偏好設定、登錄密碼和電子郵件,甚至包括 Google Ad Publisher ID,這被用在 Google 的 AdSense 帳戶。

存取設定檔

當使用者試圖「鎖住」或「隱藏」一個檔案時,應用程式只會將其從原本的位置搬到SD卡上的特定位置 – 位在/sdcard/.MySecurityData/dont_remove/下的子目錄。「隱藏」的檔案既沒被加密也沒有用任何方式進行編碼。和此檔案相關的資料,像檔案名稱、副檔名和時間戳記都被塞入SD卡上一個全域可讀的資料庫,路徑是/sdcard/.MySecurityData/dont_remove/6c9d3f90697a41b。因為這資料庫是全域可讀,所以任何應用程式都可以讀取或存取此資料庫。

惡意份子可以利用這一點來操弄此應用程式的設定檔。一種操弄檔案的方式是改變應用程式的 Google Ad Publisher ID。如上所述,此 ID 用於 Google 的 Adsense,用來產生廣告所帶來的收入。攻擊者可以藉由鎖住一個檔案開始來存取資料庫。

因為資料庫儲存在SD卡上,無須特殊權限來編輯檔案。只需要一般用於讀寫檔案的權限 – android.permission.MOUNT_UNMOUNT_FILESYSTEMSandroid.permission.WRITE_EXTERNAL_STORAGE

圖1、讀取資料庫

攻擊者接著可以建立一個假的 Google Ad 設定檔,然後將其放到一特定路徑。然後可以更新資料庫以指向此路徑,透過應用程式的「解鎖」功能來觸發。如下面截圖所示,該設定檔被成功地變更。

圖2、成功插入假的 Google Ad 設定檔

繼續閱讀

iPhone 刪除的照片,竟還留在 iCloud ? 再談女星雲端裸照外流事件

趨勢科技 TrendMicro

 

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除,如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了,那麼推薦你看這一篇文章。

 

從 iCloud 疑遭入侵,好萊塢 A 咖女星裸照外流事件,學到的五件事的文章中,提到刪除並不一定真的代表刪除,如同下圖受害者所發現的一樣。如果你還以為從自己的手機刪除照片就可以了,那麼推薦你看這一篇文章。

 

作者:Vic Hargrave (趨勢科技資料分析軟體架構師)

Cloud

當我聽到有明星因 iCloud 帳號被駭客入侵而使得自己的裸照被上傳到匿名分享網站 AnonIB 時,我其實一點也不覺得意外。不過,雖然將這麼私密的資料儲存在雲端原本就是一項冒險行為,但對於這些 明星的尷尬處境我也深表同情。畢竟,照片是因遭人竊取才會外流,並非個人意願。就我來看,行動運算與雲端儲存的便利性在這件事上也要負擔部分責任。你很容易就可能建立一個密碼強度不足的雲端儲存帳號。視你的行動 App 程式而異,有時照片、音樂、文件或任何其他資料會在背後自動上傳至雲端,而你並不會留意。

一旦你的檔案上傳到雲端,你手機上的相簿就不一定會和你雲端上的相簿同步。我覺得許多使用者並不了解他們的資料到了雲端會怎樣,甚至是資料怎麼上傳到雲端的。

單純只是另一個雲端破解案例

就目前看來,應該是有一名叫作「OriginalGuy」的駭客入侵了明星的 iCloud 帳號並竊取照片。駭客攻擊的第一步是利用蘋果「我的 Apple ID – 建立一個 Apple ID」這個用來建立新帳號的網頁,在網頁上輸入一些可能的電子郵件來猜測受害者 iCloud 帳號的電子郵件地址

如果某個電子郵件地址已有人使用,該頁面就會請使用者輸入其他可用的電子郵件地址。如此一來,駭客就知道某個電子郵件地址是否有人使用。接著,他就試圖用這個電子郵件地址來登入,不論是用猜測的密碼或是使用密碼破解程式。假使帳號的密碼強度不足,歹徒就不難猜到。這項技巧不光只適用於 iCloud 服務,也適用於 Box.com、DropBox 以及其他任何在建立帳號時能讓駭客知道某個電子郵件是否有人使用的服務。

行動資料分享或許太過容易

我所見過的大多數行動雲端儲存 App 程式都能讓你將智慧型手機中的照片自動上傳到雲端儲存。若你有多個這類帳號,你就很容易不知道哪些相片在何時被上傳到哪個雲端儲存。

最近我發現,當我用 iPhone 拍照時,照片會透過 WiFi 連線或是在我手機接上筆電的 USB 連接埠時自動上傳到我的 DropBox 帳號。我不記得自己曾經在 DropBox App 上做過這樣的設定,這樣的現象似乎是某一天自己突然開始。有可能是我某一次更新 DropBox 之後才開始,也可能是我不小心開啟了這項功能。不過每當它發生時,不論是我的動作結果或是軟體的運作結果我都不曉得。

這才是重點:身為一個每天都要接觸電腦科技、行動裝置等等的軟體工程師,我自認是個相當熟悉科技的人。但我竟不曉得自己的智慧型手機是如何開啟這項照片自動上傳至 DropBox 的功能。

我必須自己到手機應用程式設定當中手動關閉這項「功能」,就連我們這種熟悉技術的人都還如此,也難怪那些生活忙碌的電影明星會不知到自己的照片被上傳到雲端。 繼續閱讀