趨勢科技最近發現,當應用程式在Android設備上執行時,Android的除錯功能可以被用來竊取資訊。透過一些步驟,可以在Android上建立一個應用程式來除錯另一個執行中的應用程式。這除錯用的應用程式將有機會獲得被除錯應用程式的所有資訊,所以要偷像帳號、密碼等東西都是輕而易舉。
這漏洞只出現在Android 2.3(薑餅人)或更早的版本上。今日所有正在販售的Android設備都使用更新的版本,薑餅人最後一次更新是在於二〇一一年九月。然而根據Google自己的統計數字顯示,超過一半使用中的Android設備仍然執行這些較舊版本的Android。
在某種程度上,這問題是整個Android生態系統問題的縮影。讓我們將這生態系統分成三個部分:應用程式開發者,Google和電信業者以及最終使用者。各部分可以做些什麼?
應用程式開發者: 該要考慮安全性,而不僅僅是功能和易於使用而已
在這特定案例裡,一個應用程式如果被設定為可除錯就會有這漏洞。一般來說,可除錯版本的應用程式不該對外發布。(大概有5%的熱門免費應用程式是可除錯的,所以風險不小。)
然而在一般情況下,行動應用程式的「最佳實作」可能並不像桌面應用程式那樣固定。行動應用程式開發者還是應該要考慮他們應用程式的安全性,而不僅僅是功能和易於使用而已。
Google/電信業者:Google在設計Android時應該考慮提供一種方式讓舊設備仍然可以取得安全更新,獨立於電信業者和製造商之外
正如我們上面所提到的,新版本的Android並沒有這個問題。但是Android有更新上的問題,許多運作正常設備的使用者將不會收到更新,也讓他們暴露在風險中。
當然,所有的硬體和軟體,有一天都會變得過時而不再被支援。但是跑薑餅人的設備直到二〇一二年都還在賣,並可能永遠不會更新Android版本。缺乏好的方式讓消費者取得修補程式,也再次凸顯出Android更新上的困難。
想要只派送安全更新,而不是包含功能增加的大更新,就算不是做不到,也是非常困難。
如我們之前所說,Google在設計Android時應該考慮提供一種方式讓舊設備仍然可以取得安全更新,獨立於電信業者和製造商之外。
使用者:貌似「無辜」的應用程式竟會「無感」受駭
給使用者的訊息很清楚:要小心你下載到設備並使用的應用程式。你所下載貌似「無辜」的應用程式最後可能會變成惡意的。很容易就會去胡亂下載應用程式,所以先想一想,這應用程式是否 a)是個潛在風險,以及b)你真的需要它。
@原文出處:The Issues Surrounding Android Debugging作者:Bob Pan(行動安全工程師)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
PC-cillin 2013雲端版使用心得分享,抽近千元PIZZA 大餐
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU
- PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
