最近,趋势科技发现一些Android中的漏洞应用程序内存。来发动攻击。我们调查了两个受影响的应用程序,大家来感受一下:

、超过一千万次安装、及在下载页面拥有数十万笔用户留言的生产力应用程序(生产力应用程序是能够提高企业生产力或者软件开发能力的软件组件。)

、超过一百万次安装、及在下载页面拥有数千笔使用者留言的购物相关应用程序

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">

问题出在运行应用程序功能的特定Android组件。这个组件有个属性名称为“android:export”,一旦设定为“true”,就能够让此组件被其它应用程序运行或者存取。这代表设备内安装的应用程序能够去触发其它应用程序的某些功能,尽管这对想和其它厂商的应用程序建立伙伴关系的开发人员和厂商来说会非常方便,但从安全的角度来看,也给了网络犯罪分子发动攻击的机会。

攻击者能够制作恶意链接或其它恶意应用程序的弹窗来窃取信息,弹窗还能够在购物应用程序内显示。并用来发动攻击。还有一种可能出现的安全问题方式是针对重要资料的内容提供商加以收集。而且这些关键的内容能够通过定义权限来加以保护。

生产力应用程序能够完毕那些对详细信息的组织与处理的任务。人们使用生产力应用程序是为了完毕重要的任务。

在前面所提到的生产力应用程序中。内容提供商储存输入会通过读取和写入权限保护。可是,假设这两种权限都设成“正常”的保护级别。这意味着设备中所安装的全部应用程序也都被拥有同样的权限。

对于开发者来说,这个问题说明了须要给予应用程序不同组件适当限制的重要性。easy被滥用的组件应该加以权限保护(以及适当的保护级别)。使用保护级别来防护Android组件可能不是非常easy就能做到。但它提供了良好的安全性。

趋势科技强烈建议开发者检查他们应用程序所使用的组件,并确保对它们的存取有适当的限制。我们已经通知上面所提到应用程序的开发者,告诉他们此问题。我们觉得另一些其它的热门应用程序可能也受到影响,当我们发现后也会通知他们。

了解趋势科技PC-cillin2014移动安全软件。请点击链接:

http://www.trendmicro.com.cn/pccillin/mobile-security-for-android.html

版权声明:本文博客原创文章,博客,未经同意,不得转载。

Android新的漏洞的应用程序中的发现!的更多相关文章

  1. 【Android】实验6 在应用程序中播放音频和视频 截止提交报告时间2016.4.21

    注:也可以在数独游戏项目中完成该实验的内容.

  2. Windows核心编程 第十五章 在应用程序中使用虚拟内存

    第1 5章 在应用程序中使用虚拟内存 Wi n d o w s提供了3种进行内存管理的方法,它们是: • 虚拟内存,最适合用来管理大型对象或结构数组. • 内存映射文件,最适合用来管理大型数据流(通常 ...

  3. Android程序中--不能改变的事情

    有时,开发人员会对应用程序进行更改,当安装为以前版本的更新时出现令人惊讶的结果 - 快捷方式断开,小部件消失或甚至根本无法安装. 应用程序的某些部分在发布后是不可变的,您可以通过理解它们来避免意外. ...

  4. 如何在Android应用程序中使用传感器模拟器SensorSimulator

    原文地址; 如何在Android应用程序中使用传感器模拟器 - 移动平台应用软件开发技术 - 博客频道 - CSDN.NET http://blog.csdn.net/pku_android/arti ...

  5. android 程序中res/values-v14/styles.xml报错的解决办法

    从旧的ADT迁移的新的ADT时, android 程序中res/values-v14/styles.xml报错: error: Error retrieving parent for item: No ...

  6. Android应用程序中Activity的生命周期

    Android应用程序中Activity的生命周期 对于Android来说Activity的生命周期是非常的重要,尤其是对于新学者来说,只有充分了解了Activity的生命周期,才能写出优良用户体验的 ...

  7. Android应用程序中的多个Activity的显示创建和调用

    watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvdTAxMTkzNjE0Mg==/font/5a6L5L2T/fontsize/400/fill/I0JBQk ...

  8. Linux64位程序中的漏洞利用

    之前在栈溢出漏洞的利用和缓解中介绍了栈溢出漏洞和一些常见的漏洞缓解 技术的原理和绕过方法, 不过当时主要针对32位程序(ELF32). 秉承着能用就不改的态度, IPv4还依然是互联网的主导, 更何况 ...

  9. (Android UI)Android应用程序中资源:图片、字符串、颜色、布局等

    Android系统设计采用代码和布局分离的设计模式,因此在设计Android应用程序时需要遵循该设计模式. “把非代码资源(如图片和字符串常量)和代码分离开来始终是一种很好的做法.”---<An ...

随机推荐

  1. 数据类型总结——Number(数值类型)

    相关文章 简书原文:https://www.jianshu.com/p/9fb573ef10da 数据类型总结——概述:https://www.cnblogs.com/shcrk/p/9266015. ...

  2. Linux与Windows间使用git

    Linux与Windows间使用git Linux上架设git服务器,windows可以使用git从Linux上拉取/上传数据 windows使用工具:Git for Windows Linux上的用 ...

  3. [Elm] Functions in Elm

    Functions are an important building block in Elm. In this lesson we will review stateless functions, ...

  4. 【t009】最大矩形面积

    Time Limit: 2 second Memory Limit: 32 MB [问题描述] 在x轴上水平放置着N个矩形,每个矩形都有相同的宽度,但是它们的高度并不相同. 比如,图1包含的矩形的高分 ...

  5. vs 2013 常用快捷键及常见问题的解决

    1. 代码编辑 关闭当前文档:ctrl + F4 打开光标所在位置的文档:ctrl + G(shift + g) 返回上次编辑的位置:ctrl + -(键盘数字键 0 后的那个按键) 移动光标所在的行 ...

  6. (ubuntu 下)tensorflow 的安装及版本升级

    对于 CPU 版本 pip3 install –upgrade tensorflow 对于 GPU 版本: pip3 install –upgrade tensorflow-gpu [TensorFl ...

  7. 一起学Python:多线程-共享全局变量

    多线程-共享全局变量 from threading import Thread import time g_num = 100 def work1(): global g_num for i in r ...

  8. 三种方法解决 Failed to start LSB: Bring up/down networking 问题

    感谢朋友支持本博客.欢迎共同探讨交流.因为能力和时间有限,错误之处在所难免.欢迎指正! 假设转载.请保留作者信息. 博客地址:http://blog.csdn.net/qq_21398167 原博文地 ...

  9. spark action之countbykey

    java public class CountByKeyDemo { private static SparkConf conf = new SparkConf().setMaster("l ...

  10. Linux-shell脚本-mysql一键安装

    转自: https://blog.csdn.net/zmken497300/article/details/51615678 安装环境 CentOS-7-x86_64-DVD-1511.iso mys ...