※ 引述《stockapp (平安就是福)》之铭言:
: Android的漏洞并没有很多。即使有,也要很多组合条件,才有办法拿来做攻击。
: 主要是开放特性,让开发者可直接存取特别权限,所以就可以做很多事。
: (像是上面讲的发短信,不过4.2之后已经有做控管,还要使用者手头确认才会发出去)
应该是4.4 Kitkat才有控管短信。
不过也是有例外,就是Google自己的程式。
在原生4.4.4系统下,我将默认短信app设定为"短信",
照理说,其他app应该无法收发短信,除非我暂时修改默认短信app。
但是,当我安装Google的Hangouts,第一次启动会问你要不要发短信验证电话号码,
你如果选是,Hangouts自动就会完成短信发送及接收,
完全不需要修改默认短信app。
: Google有重视到这些问题,在每个app安装前,会要求使用者确认权限,
其实我觉得Google在App权限的确认上,并没有朝重视安全性的方向努力,
反而是不断简化权限确认步骤。
自从Play Store 4.8.19更新以后,
应该很多人发现下载app的权限说明变得很模棱两可,
以往细项的权限描述,被归类到只剩下几个大的群组。
甚至在app更新时,如果新权限与旧权限被归类在同一个群组,
则不用使用者同意新权限,即会更新app,
这是一个很明显的漏洞。
一个程式在更新多次之后,可以不需要使用者同意,就取得比以前更多的权限
详细可阅读此来自xda的文章:
[Play Store Permissions Change Opens Door to Rogue Apps]
http://goo.gl/GXHBms
或来自趋势科技
[Google Play更新改变了权限模式,但不是变得更好]
http://blog.trendmicro.com.tw/?p=8618
进而,连在Xposed都出现了修正此权限问题的模组:
[Fix the New Google Play Store Permissions System Using Xposed]
http://goo.gl/7ugHQq
: 但使用者如众多版友所提,就是直接下一步。
: Google Play上,Google也是持续有在扫描,若发现是恶意程式也很快下架。
: 主要就是不要轻易安装非Google Play的,可以降低中奖机率很多。
我认为Google目前对app的控管,比较偏向是对开发者有利而非使用者,
事实上,因为一般使用者无法个别控制app的权限,
如果你不满某app为何要某个权限时,你只能不爽不要用 (除非有root)
不然多数人为了要尽快使用某app的功能,可能也只好按下同意,
进而养成很多人轻易按[下一步]的习惯也是无可厚非...