手机如此不安全，你造吗？

shenlanyouyu

获奖名单已公布：http://bbs.chinaunix.net/thread-4186791-1-1.html

话题背景
      最近网络被优衣库事件火爆刷屏的同时，另一则新闻“工行快捷支付存在漏洞 多名客户存款莫名消失”引发了人们对银行账户安全的焦虑。伴随着互联网的快速发展，科技让生活变得更美好，但同时也引发一些安全问题。近日，相关媒体陆续接到举报，工行客户开通“e支付”业务后，只需短信验证码就能进行支付交易，结果账户里面的钱很快便莫名消失了。不法分子通过特殊渠道截获短信验证码，轻而易举取走了卡里的钱。据悉在这些存款被窃事件当中，被偷窃的个人最大金额达到4.2万元。
      随着Android在国内的兴起，基于Android的平台应用需求也越来越复杂。形形色色的软件壮大了Android市场，也丰富了我们的生产生活，越来越多的人从起初的尝试到享受再到依赖，沉浸在Android的神奇海洋中。事情有利也总有弊，即使Android如此优秀也会有怨声载道的时候，各种信息泄露、恶意扣费、系统被破坏的事件也屡见不鲜，Android系统的安全也逐渐成为人们所关注的话题。



讨论话题
1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？
2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？
3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。
4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？
5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？



讨论时间
2015-07-27至2015-08-26



活动奖励
活动结束后将选取4名讨论精彩的童鞋，每人赠送一本《Android安全攻防实战》图书一套作为奖励。



奖品简介
  
作者： (南非)Keith Makan,(英)Scott Alexander-Bown
译者： 崔孝晨 武晓音
出版社：电子工业出版社
出版日期：2015 年7月
开本：16开
页码: 301



内容简介
      本书通过大量极富针对性的实验，通过对常见的安全场景中解决方案的讲解，帮助读者全面掌握各种攻-防实用技能。因而，本书的实用性也很强，即使是一时不能完全理解其中的技术原理的新手，根据作者给出的方法，也能解决实践中遇到的大部分问题；而高手也能从中借鉴到一些好的做法。
      全书共分九章，涵盖了基本的Android开发环境和工具；app组件之间及它们与系统的交互方式；Android安全评估框架"drozer"；app及Android原生代码的逆向技巧；各类漏洞的利用及防护方式；使用SSL在网络通信中进行更有效的验证；利用第三方代码库或Android中新增的特性，通过加密和在开发时使用设备管理策略，加固app等内容。

rover12421

1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？

这些权限我是非常关注的.很讨厌现在什么软件都要这些权限.没办法,只好安装一个LBE管理下这些权限.除了上门说的8种.我还别提关注自启动,移动网络,和开启网络这3个权限.
除了几个信用的软件会放过,其他要么直接阻止,要么每次都提示.随然每次都提示有点麻烦,但是为了掌握这些权限也没办法.

2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？

不去乱七八糟的网站下载app,下载app只去官方,或者可信任的第三方app市场或有能力的直接去android store上下载,单也不能100%的代表就安全,单这样起码有一个简单的保证.
已经root的,安装一个防护软件,360,lbe一类的,不要随便给root权限.要是手机出现莫名奇妙的问题,最好重新刷机,所有软件重新安装下.暂时用不上的也可以不装,不知道干嘛的也不要装.

3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。

有root.没root可以防止一些危害比较大的病毒,单如果这些病毒木马,自己利用漏洞得到root,那就非常危险了,因为你没法查杀他.root之后,病毒木马索取root权限的门槛就降低了.
但是被查杀的概率也升高了.所以还有利有弊的.还有一些厂商,会提示用户,root之后不保修,如果对自己手机质量没低的话,还是不要root的好.

4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？

常用的有JEB,IDA,Apktool,smali/baksmli/jd/dex2jar/luyten/enjarify/AndroChef
JEB和IDA都是很强大的.但都是收费的,网上有免费的.
我用的最多的是我自己修改过的Apktool,叫ShakaApktool.
apktool的代码反编译部分是用的smali/baksmali.
luyten和jd是查看jar的.个人觉得luyten比jd强大.
dex2jar和enjarify是用来把dex转成jar的.enjarify是google官方出品的,我觉得比dex2jar强大.dex2jar很久没维护了,很多错误,而enjarify还在一直更新,错误也比dex2jar少很多.
AndroChef是一款windows下收费的破解apk软件,他的代码反编译引擎用的是JAD,有jeb就可以不用这个了.
windows下还有各种工具,其实都是把apktool,apksigin,adb等工具的一个集合,强大一点的就加了代码查看,加壳检查,搜索等功能.


5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？

进入bootloader,清理sdcard,手机存储,再次重新刷机,就基本没原来的数据了.恢复出厂设置是没用的,因为sdcard的数据还在的.而很多隐私数据都是放在sdcard上的,谁让他的空间大呢.
我的旧手机都是放在柜子里收着.不会卖也不会随便扔的.

lsstarboy

1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？

华为有个手机管家，里面可以限制权限。
很多app都要求非常不合理的权限，比如阅读器竟然要求定位、接打电话、接打短信、修改通讯录，看到这些要求，就知道流氓来了！
我现在限制的最多的是读取手机识别码，我的手机为什么要告诉你识别码？其次是电话、通讯录和短信，只给电话和输入法用，其他的都一边去。
还有上网，除了浏览器和专用客户端，你就别占网了，省得跑流量还要追查。

2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？

防止网络受骗其实很简单，遵循两条就行：1、不想着占便宜，就不会上当；2、核实信息的来源。
另外一个有效的手段就是先测试，再使用，遇到不明的apk，先用sdk安装一下试试，看一下是不是自启动，看一下占多少内存，跑不跑流量等，如果满意了再放在自己的手机上跑。没有sdk或者不支持sdk的，也可以用淘汰的手机来测试。


3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。

手机当然要root，在此鄙视一下华为，要root还必须去官方申请解锁，并且解了锁还不质保。
不root的话，那些定制软件即占资源，又耗流量。
不root的话，想限制自启动的程序都不可能，遇到流氓程序你也干瞪眼。
在root的时候，要牢记root的目的，否则还会吃亏：清理垃圾软件。如果你root仅仅是为了安装一些东西或者刷个第三方的rom，那最好还是别root了吧。
就像刀一样，你是用来自卫呢还是用来伤人？


4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？

没用过，因为一直感觉java比较反人类，远程java，珍爱生命。

5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？

内置的存储卡用清零工具多清几遍，至少清上几十遍。外置的存储卡相对简单了，放水里泡一天再放微波炉转上几分钟。

beyondfly

1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？
     有关注过Android平台上手机APP在安装时滥用权限的问题。针对这类问题，我一般是只给予其最小权限，确保其可以正常运行。像发送短信、读取短信记录这类权限是一定不能给的，因为短信里面包含了太多的用户隐私信息，比如一些网站的用户名与密码，甚至是网银的交易数据等，如果这些信息被不法APP给利用，那后果是相当严重的。这里顺便BS一下百度云Android客户端，在未经用户授权的情况下，就将用户的短信直接备份的云盘。如果你的手机曾经被别人拿去登陆百度云客户端，那得小心了，很有可能你的短信已经全部备份到他的百度云账号上去了。
2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？
       这类问题主要是要提高用户的信息安全意识，不要去贪小便宜，一定要相信天下没有免费的午餐。因为现在几大互联网公司都不断地给用户补贴，导致很多不法分子也打着红包、补贴等口号给用户发送非法链接，一旦用户点击这个链接，就有可能下载了恶意APP。对于老人、女孩子等非IT从业人员，强烈建议从应用的官网或是正规APP市场下载应用。
3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。
     Android系统是基于Linux系统，Linux系统最大权限的用户是root,那么Android用户也存在一个root用户，只不过各种ROM厂家在出厂时都禁用了root用户，即用户登录手机后是以一个普通用户登录的，这样这个用户登录手机后启动的APP的uid也是普通用户，那么这个APP的权限就比较小了。root了以后，就相当于以root用户登录了，那就可以修改默认的开机启动项，删除预装的APP,因为现在的ROM产商默认的ROM中都会带大量的垃圾APP,root的最大好处因为就是删除这些APP了。
     我的手机没有root。有人会问，你没有root，那么上面这些不都是瞎扯淡么？非也，我从2006年开始使用Linux系统到现在，折腾过各种版本的Linux,理解root原理也太容易了吧。
4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？
     反编译的工具没有使用。以前看过一本原国家保密局局长田静做序的书《Android安全机制解析与应用实践》
5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？
      这一段时间在追看美剧《黑客军团》，男主角为了销毁数据，将芯片丢到微波炉里转几分钟，我觉得这是一个不错的方法。具体到处理旧手机，iPhone手机，恢复出厂默认设置，给亲戚用户。Android手机，恢复出厂默认设置再加上格式化TF卡给亲戚用户。如果手机上存储过重要涉密数据，那么就地生一堆火把手机给烧了，哈哈。

renxiao2003

1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？
一般来说，我在安装APP时，对这种权限都一直接跳过，很简单的原因是在安装应用的时候似乎没有可以拒绝的地方，只有安装成功后再到设置里面去看看能不能禁止某些权限。所以android的安装还是不太尽人意吧。没办法，如果你不同意那么你只有不安装这个应用程序了啊。只有安装过后再去禁止，但好多应用还是有后门，你虽然禁止了还是能偷偷访问（这是听说的）。安卓的应用市场太多太杂乱，所以没法做好权限控制，同时还可以直接略过应用市场下载APP安装，给了用户自由的权限带来的是安全的风险。这点没有IOS做得好，IOS只有苹果一家运行应用商店，都通过严格的审核，所以IOS的应用安全性相对很高（相对于Android来说）。

2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？
首先通过安装安全工具，过滤掉一些非正常短信。其次要靠使用人自己的自觉性，对非正常的连接不要随便点开，就如当初电脑里的木马一样。虽然有安全软件，但更多的是还是要靠自己了啊。

3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。
所谓root，就是让你拥有最高权限，可以删除系统级应用。因为Android是基于Linux内核的智能手机操作系统，而Linux系统中，root是特权用户，拥有最高级权限，可以删除任何程序。而如果手机没有root的话，手机很多的预装软件就不能够删除，而现在很多廉价手机都预装了很多垃圾软件，这些软件占用系统资源的同时，会在你不小心的时候吸取你的费用，这就是它廉价的根本理由。我没有root手机，很多系统应用我根本不去点开。手机root了，权限是高了，可以删除不必要的系统应用，但同时风险也高了，这意味着很多软件都可以获取手机的最高级别的权限，吸取你的费用就更方便了。

4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？
首先，反编译源代码的工具有dex2jar和JD-GUI，反编译资源文件的工作是apktool。我使用的就是这几个工具，一般来说我想要查看布局文件的时候试用资源文件反编译apktool。查看远吗用dex2jar，先将apk改名为zip，然后解压得到dex文件，调用dex2jar可以生成jar，试用JD-GUI查看。但代码比较混乱，看着比较头疼。apktool就执行使用命令行就可以了。apktool path\apk path1\，资源文件会生成到path1\下。

5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？
一般来说，懂计算机的人都知道，就算是低格的硬盘使用专业的回复工具也可以回复其中的数据，所以恢复出厂设置只是让菜鸟们认为数据被删除了而已。我一般都是把就手机留着，不会拿去换个锅碗瓢盆什么的。就算实在不得以，那就直接砸坏扔掉。毕竟旧手机真的不值钱。

vermouth

现在有听到过的手机安全问题，最大还是银行卡或者支付宝什么被盗用，而前提基本都是被安装类似于木马之列的软件了吧。

heguangwu

仅参与讨论，个人不搞Android，即使抽中我了也不要送这本书给我，请将书送给有需要的人
1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？
其实这个手机是有提示，关键普通用户是提示看不懂或不明白，即使像我这等搞计算机的也是不耐烦的一路点OK，一个好的习惯是只下载大的互联网公司的应用，如BAT，去哪儿，网易，搜狐，而且千万不要从论坛之类的地方下载，而是从大的APP市场或官网下载，这样能减少很多问题

2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？
不要充短信链接、论坛安装应用，只在官网或大的APP市场下载对应公司的应用，另外，装一个杀毒软件还是有必要的

3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。
root了，root之后你只能信任他了，没办法，比如我root就是为了杀毒软件，那么我只能信任杀毒软件，尽管我不知道他会不会耍流氓

4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？
没用过

5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？
换手机之后最好全部重新换一次密码，旧手机尽量格式化处理，应用最好按照到SD卡，后面将SD卡换新机器或放家里而不是卖了或丢弃，提高其破解的门槛

james90404

回复 5# lsstarboy

完全没错   感觉android的权限管理一点都不严谨   底层root使用app一不小心就调用了   然后上层应用权限问题很严重   权限没有保护
一下就门户大开了   感觉DIY修改过才安全
   

nail78

1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？
   以前没有关注过这方面的事,以后再安装时会注意的
2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？
   装个杀毒软件,平时多注意
3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。
    Android手机root就是获得root权限,我的手机还没root.root的好处,可以刷机,装自己喜欢的系统,可以删除系统的软件,安装软件会更方便.root的坏处就是有风险.
4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？
    不太了解这方面,只是听说有人通过反编译,利用一些漏洞,从中谋利.
5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？
    我的手机有两个命运,一个是被小偷偷了,一个就是被淘汰了,扔在家里.

wwwsq

1、Android APP安装时会要求用户开放各类手机权限，其中拨打电话、发送短信、读取通讯录、读取短信记录、读取地理位置信息等8项，涉及隐私信息核心权限。手机权限滥用问题，直指安卓手机市场。APP安装时需要开放的各种权限你关注过吗，你会如何处理这些权限请求？
由于安卓有各种安全漏洞，可以轻易被root，所以拦住这些权限只是减少正常的骚扰而已。并不能提高手机的安全性。木马不需要你‘授予’这些权限，它自己可以拿到。

2、央视《新闻直播间》曝光了安卓手机被指存在“寄生兽”安全漏洞问题，引起社会关注。其实，关于手机安全问题，尤其是以木马为代表的虚假信息诈骗，今年以来爆发式增长，短信带上一个链接，诱骗用户安装上木马程序。如何防止这类问题？
杀毒软件+联防联控。

3、在刷机论坛，各种手机root的教程。什么是Android手机root，你的手机root了吗？分析手机进行root的利弊。
root是有益的，不会有额外安全问题。因为你不root，木马也会来root。

4、Android程序的反编译工具有哪些？你是否使用过这些工具，分享工具的和阅读反编译的程序经验？
apk基本上是字节码，和明文差不多。搞点lua、C++、加壳之类的可以提高一点破解难度。但终究是可以破解的。

5、在智能手机时代，手机更新换代更频繁。英国剑桥大学的一项最新研究显示，安卓手机上的信息难以彻底清除，即便恢复出厂设置也不行。这意味着你用手机操作的电子邮件、信息、图片、视频，以及用第三方软件存储的金融信息、银行卡密码等都有可能泄露。你会怎么处理旧手机？
不要太担心。一般性处理就好了。泄露隐私的途径太多，不差这一个。

seaquester

工行“e支付” 那个事情和 android没有关系吧，不要乱扯