Android新的漏洞的应用程序中的发现!

最近,趋势科技发现一些Android中的漏洞应用程序内存。来发动攻击。我们调查了两个受影响的应用程序,大家来感受一下:

1、超过一千万次安装、及在下载页面拥有数十万笔用户留言的生产力应用程序(生产力应用程序是能够提高企业生产力或者软件开发能力的软件组件。)

2、超过一百万次安装、及在下载页面拥有数千笔使用者留言的购物相关应用程序

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" >

问题出在运行应用程序功能的特定Android组件。这个组件有个属性名称为“android:export”,一旦设定为“true”,就能够让此组件被其它应用程序运行或者存取。这代表设备内安装的应用程序能够去触发其它应用程序的某些功能,尽管这对想和其它厂商的应用程序建立伙伴关系的开发人员和厂商来说会非常方便,但从安全的角度来看,也给了网络犯罪分子发动攻击的机会。

攻击者能够制作恶意链接或其它恶意应用程序的弹窗来窃取信息,弹窗还能够在购物应用程序内显示。并用来发动攻击。还有一种可能出现的安全问题方式是针对重要资料的内容提供商加以收集。而且这些关键的内容能够通过定义权限来加以保护。

生产力应用程序能够完毕那些对详细信息的组织与处理的任务。人们使用生产力应用程序是为了完毕重要的任务。

在前面所提到的生产力应用程序中。内容提供商储存输入会通过读取和写入权限保护。可是,假设这两种权限都设成“正常”的保护级别。这意味着设备中所安装的全部应用程序也都被拥有同样的权限。

对于开发者来说,这个问题说明了须要给予应用程序不同组件适当限制的重要性。easy被滥用的组件应该加以权限保护(以及适当的保护级别)。使用保护级别来防护Android组件可能不是非常easy就能做到。但它提供了良好的安全性。

趋势科技强烈建议开发者检查他们应用程序所使用的组件,并确保对它们的存取有适当的限制。我们已经通知上面所提到应用程序的开发者,告诉他们此问题。我们觉得另一些其它的热门应用程序可能也受到影响,当我们发现后也会通知他们。

了解趋势科技PC-cillin2014移动安全软件。请点击链接:

http://www.trendmicro.com.cn/pccillin/mobile-security-for-android.html

版权声明:本文博客原创文章,博客,未经同意,不得转载。

时间: 2024-10-13 21:13:18

Android新的漏洞的应用程序中的发现!的相关文章

Https漏洞在安卓程序中

HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息.握手过程的简单描述如下:1.浏览器将自己支持的一套加密规则发送给网站.2.网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器.证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息.3.获得网站证书之后浏览器要做以下工作:a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏

NLOG在Console程序中运行时不起作用

把Web程序中的NLog.dll, NLog.config, NLog.xsd拷到Console程序中,发现运行不起作用,看了网上的示例教程,如http://www.cnblogs.com/sorex/archive/2013/01/31/2887174.html,试了下,多了个packages.config文件,里面内容如下: <?xml version="1.0" encoding="utf-8"?> <packages> <pac

在Android程序中使用已有的SQLite数据库

已经将这篇文章迁移至 Code问答,你也能够到这里查看这篇文章,请多多关注我的新技术博客CodeWenDa.com 在中文搜索中,没有找到一篇比較好的关于怎样在Android应用中使用自己事先创建好的数据库的文章,于是在谷歌上找到这篇英文文章,依照它的步骤,測试成功.决定把这篇文章大致的翻译一下,想看原文的能够点击这里:http://www.reigndesign.com/blog/using-your-own-sqlite-database-in-android-applications/ .

网格视图在Android应用程序中的使用

网格视图是在应用程序中比较常见的视图. 首先介绍一下GridView类,GridView类位于android.widget包下,该视图是将其他空间以二维格式显示到表格中的,而这些控件全部来自于ListAdapter适配器. GridView类的属性同样有两种配置方式,即XML属性配置和Java代码中配置.如表中列出了常见的属性和方法. 其次,介绍一下网格视图的使用,下面将通过一个完整的案列详细介绍网格视图的使用方法,在该案例中同样列出了各个动漫名人,包括其照片及描述,案例的开发步骤如下: 创建一

Android应用程序中的多个Activity的显示创建和调用

布局文件: <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://schemas.android.com/tools" android:layout_width="match_parent" android:layout_height="match_parent" android:orien

从Android Studio 说开去--未来程序员工具的发展方向——版本兼容,以及为什么我们总是要学SB&quot;新&quot;东西

抽时间学习Android. 刚刚下载了 http://developer.android.com/sdk/installing/studio.html#Updating Getting Started with Android Studio 下载安装,很简单. 启动前,先把翻墙的工具准备好,并且开动之. 否则是不行了. 我再牢骚几句啊(我自己要是开公司,门口第一个标语栏就是:大声报怨.一个连抱怨都不会的人,我不信他是一个正常人,更别提创造力了.当然,我招人也只会招参与型的人,只抱怨,但事事弃权,

在 Android 应用程序中使用 SQLite 数据库以及怎么用

part one : android SQLite 简单介绍 SQLite 介绍 SQLite 一个非常流行的嵌入式数据库.它支持 SQL 语言,而且仅仅利用非常少的内存就有非常好的性能.此外它还是开源的,不论什么人都能够使用它.很多开源项目((Mozilla, PHP, Python)都使用了 SQLite. SQLite 由下面几个组件组成:SQL 编译器.内核.后端以及附件.SQLite 通过利用虚拟机和虚拟数据库引擎(VDBE).使调试.改动和扩展 SQLite 的内核变得更加方便. 图

android 程序中res/values-v14/styles.xml报错的解决办法

从旧的ADT迁移的新的ADT时, android 程序中res/values-v14/styles.xml报错: error: Error retrieving parent for item: No resource found that matches the given name :Theme.AppCompat.Light.DarkActionBar 解决办法:修改项目下的project-properties文件, 把下面这一行加入,指向新导入的support库(需要先导入这个库) an

如何在Android应用程序中使用传感器(OpenIntents开源组织SensorSimulator项目)

原文地址http://blog.sina.com.cn/s/blog_621c16b101013ygl.html OpenIntents项目和可用资源介绍 [1].    项目介绍:OpenIntents项目的目的是提供一些开源的意图和接口,通过一些可以重用的组件让移动应用程序更加紧密的在一起工作.而且对于这些开源的项目,OpenIntents组织都会提供相应的源代码和示例程序展示项目如何使用. [2].     项目资源:免费开放源代码下载地址在 www.openintents.org;讨论区