龙门阵179期实录:技术专场之Android安全现状
嘉宾: 金山 网络 的陈章群、豌豆荚的丁吉昌
主持人:金山网络范路
范路:大家晚上好,不管今天是来打 游戏 的,还是做活动的,还是坐在这创业的,我们都很欢迎大家,因为我们正好在这个场地里面做一个活动,不管是不是专门为这个活动来的,还是不是为这个活动来的,既然你赶上了就可以听一听,也希望对大家有所帮助。我们要进的东西肯定,因为这个是IT龙门阵的 技术 专场,我们每次要讲的东西,通常不是很商务的东西是很技术的东西,对对开发的朋友,对搞技术的朋友有帮助的东西。
今天要讲的主题是Android与安全,我们有很多很多的创业者在Android上写 应用 ,也有很多的人号称在Android有各种各样不安全的事情发生,有的人比如说他的隐私被窃取了,有些人某些恶意的应用扣除钱了,这种故事每天在发生。但是你们也会看到有各种各样的不是那么规范的应用也在不断的涌现出来,特别是这个里面有一些公司,他们还做这种喊 广告 和隐私保护的应用,做完了以后导致了一个结果,虽然有很多公司去反这些公司,说你们破坏了这个Android整个的生态环境,但是做完了事情以后,所有的Android商店都做了一个事情,他把应用进入的门槛调高了,他们在应用审核的这个过程变的更严格了,所有人甭管啊说这个是希望有更多的广告进来,还是我希望有更多的高到 用户 的面前去,我们希望更多的搜集用户 数据 ,还是我们要更好的保护用户的隐私,这个事每家的观点都不一样,但是每家最后做的事情都是一样的,都是把这个口收紧了,所以对于每一个做应用的人来说,你们想我的应用在更紧的环境下面是不是可以通过去。因为是前一段,我看了一条 微博 ,有人抱怨说,我的一个应用原来还可以在各个上面可以过去,就这一两周就过不去了,所有的网站都给他退回来了,说你个上面有这个插件有哪个功能,或者有什么东西,就不允许过了。
今天我们请到了两位嘉宾,一个是来自豌豆荚的丁吉昌,一个是来自金山网络的陈章群,然后他们两个会来讲一下,在他们各自的工作中怎么去应动这种安全问题的和当前最新的安全问题是什么问题。待会我们豌豆荚作为国内最大的 手机 在PC端的工具,应该是最大的一个,当他向你推荐应用的时候,当你向他要一个应用的时候,他怎么去判定那个应用是OK的,那个应用是有问题的,他怎么做这个事情?我们每个写应用的人都希望是OK的,能够通过,不希望我们的名单出现在后面的部分,说你的应用对不起是一个恶意的应用,我们谁都不希望自己的应用变成那样,他就告诉你,他们是怎么做这个事情?
后面陈章群为大家介绍两个事情,一个是最近很出名的Android上的短信漏洞到底是怎么回事,他会给大家演示一下这个短信漏洞是怎么用的,当然你可以去写一个应用,我今天收到了一条短信,这个短信写的是什么呢?叫做我是房东,然后请往那个里面打款,我想好象没有租房出去,我有一套房租在外面,我开心的把这条短信发到微博上,这个是骚扰短信吗,是其他的短信吗?很多人说是啊是啊我也收到过,这个事情是一个欢乐。如果你利用这个短信漏洞再做这个短信,你就可以发的非常非常的精确,你可以读读通讯录,你可以看看到底哪个是你的房东,这个事情是完全可以做到的,他会告诉你这个是怎么玩的,然后他可以告诉你是怎么玩的。另外一个是他会告诉大家,金山的这种病毒应用行为分析 模式 是怎么分析的,你的应用在他的里面是被判定为善意的还是恶意的,这个事情是怎么做的,不是很神秘的事情。原来所有的安全厂商都是很神秘的,就说我这个东西放在那儿去做,到底这个过还是不过,是完全的看签证官早上吃的油条,还是吃的馒头,这个事情是很神秘的的事情,现在做安全的人,这些握有应用生杀大权的人会来告诉大家这个不是这样,每一个事情是有规则的,这个规则到底是怎么做的,大家可以根据这个规则调整应用,让大家可以适应新的规则。
我们今天的活动形式是这样的,先由两位嘉宾做演讲,因为我们今天只有两位嘉宾,所以他们每个人可以讲40分钟,他们两个讲完之后,然后一起做互动,是大家有什么问题,向他们两个一起问而不是每一个人讲完了之后单独的问,当然作为技术场,我们是第一次在车库咖啡做技术场,以前在另外一个会场。技术场还有一个特色是这样的,每一次的第一个问题交给嘉宾自己的,我们允许这两个嘉宾是互相向对方提一个问题,所以你们也可以想想待会金山问豌豆荚什么问题,豌豆荚问金山什么问题?我们首先欢迎豌豆荚的丁吉昌来介绍他们的故事。
丁吉昌:谢谢大家,今天非常荣幸能到这边跟大家做一个交流,因为灯光的关系,所以屏幕有一点不够的亮,不知道后面的同学能不能看到?我们开始,开始之前我想先问一下,今天来这边大多数是属于开发者有多少是Android的用户,能帮忙举个手吗,剩下的IOS的吗?IOS的举一个手看一看。今天其实我们想跟大家做一个交流,作为国内Android最大的开发平台,我们想跟大家一起看一看,对Android这么一个复杂,这么开放的系统会面临什么问题?包括国内有上百家的应用商店,这上面有什么的问题可能大家也会碰到过,我们今天也是想系统性的讲一下,我们是怎么来思考这个问题的。可能还有同学并不知道豌豆荚是什么,所以简单的跟大家介绍一下,我们目前用户规模超过8500万,每日的分发量超过1500万,应用数超过40万,在 中国 用户手机应用中排名第七,这是一个统计,大家可以对比自己的手机列表,是否可能有相同。其实从这个名单上可以看到的,不管是上面还是下面都是非常大的公司,我们是一个不到100人的创业者公司,我们在1000亿这个位子。下面很多内容都是基于我们自己能观测到的数据做的一些统计。
Android的应用现状,我们发现说在国内我们收入大概有100多万款的Android应用。刚才那个40万指的是IPOD,这个是ADK有各种的版本。其中有1.8是超过两家不安全,就是两家,国内有很多的像金山,360等很多的安全厂商,有两家认为是1.8%的APA是不安全的,有1.7是其中的一家认为是不安全的,也就是用了这个图,可以看了是96.5%是两家,或者是一家可以的。我们来看看,在今年大概两个月以前我们做了实验,这个是实验数字,我们拿两两个的APK放在国内的Android商店,这个是国内的Android厂商扫描,我们发现有1.5个百分点反回来说这个是不安全的,然后还有接近50%的应用,安全厂商扫不出来这个是安全还是安全。因为是按照安全厂商的策略是,他对一些程序要好几天,要线下分析才可能得到结论,我们也可以看到,这个跟国内其实还是挺不一样的。最有意思的一个事情,大家都知道韩寒的一个在IOS发的软件,发了很久,Android版这个是MOK,今天下午我刚刚截的,这个应用没有上线,它会在明天早上八点在豌豆荚首发。
除了对安全这块,我们还做了稍微简单的统计,因为我们接入了4家的安全厂商,我们来看一看,通讯认为有问题的应用,其中28.4%是另外的两家说这个没有问题。360觉得0K的应用有29%是其他家觉得没问题。这个是有问题的应用,另外有76.8%另外的两家说这个没问题,所以我们不是专业人士,我也很难讲。其实用Android大家都知道,除了安全是一个很大的问题之外,传统定义上的安全,但其实占广告这个也是占安全的一部分,所以今天的Android安全我会分成五块来讲,广告也是非常烦恼的事情,当然这个也是开发者赖以生存的事情,所谓的君子爱才财取之有道,我们看这个是怎么回事。同样是这个数据,我们看到只有39%应用是无广告,有34.6%是应用会内嵌广告,就是计分墙那种,还有flash的广告算在里面,还有26.4%有通知栏广告,这个是你用着用着,突然里面通知栏蹦出一个东西,你一点可能就下载一个东西或者是打开一个网页,这种所谓的通知栏广告,很多人都非常的烦。除了安全广告,还有一个签名,也就是所谓的盗版问题,其实每一个开发者开发的一个应用中,就签一个自己的名字,会签一个自己作为正版的标志,我们通过自己的数据接口,就是我们看到用户手机上安装的应用有55.8万,其实刚才大家看到我们自己说的是40万,这中间有一些差距,这里面有些是基本的应用,有些是各种的应用,有些是量特别的小的。但是就这55.8万里面,我们看到有75万的应用,是嵌入不一样的。也就意味着说有26%是盗版,就是说你一款的应用被多个人盗版。我们更细的来看一下,非常有名的一些应用,水果忍者这个在座的都知道,有24个仿冒签名,从我们看的到的。有12个签名,安装超过1000个用户,也就是说这个一万两千个用户受到了影响,还有1000以上的人受到了影响。还有愤怒的小鸟有29个,这些不管是国内还是国外的商店被上架上去的应用,所以不管在那个下都会碰到这个问题,有11个是超过1千的可能是游戏冒仿就算了无所谓。微信是有一点的问题,微信有16是盗版的,有3个是超过1000个,这个就是意味着你在用盗版的时候,有可能不是发到腾讯的服务器,有可能是发到别的地方,更狠的是招商银行的这个应用,有三个其中有一个是超过1000,也就是说最少1千的用户里面,他用的是盗版的招商银行,他的帐户密码是无法保证的。
除了有意无意的盗版之外,还有一些是开发者自己不够小心,因为我们知道Android的开发,是最近几年才起来的,所以开发者有很多不知道,也有很多厂商自己没有能力,或者是发给外包团队,外包团队可能也不遵守这个规则,比较好笑一件事情,今天我为了那个把名字隐去了,某某箭头证券,和某某万头证券,这是两家公司对吧,他们把这软件是外包给同一个开发公司做开发,这家开发公司,给他们用了同一个签名,只是有一点不一样。搞开发的同学都知道,这个事情意味着什么,你装了这个版本是就相当于那一个版本,你装了那一个版本就向与是这一个版本,就是往谁那里发,这个事情是非常重要的,我们也希望大家都要遵循标准的。
除了这个事情之外,其实国内像我们有很多商店,也有很多运营商,国内的环境也是各种各样,包括CDN也有各种各样的,右边这个图大家是非常的熟悉的,我们上什么网就突然大了这个页面。这意味着什么呢?就是开发者上传了一个应用到某一家商店,同时他用了一个新版,或者是放了一个测试版,为了避免各种原因,或者是为了让别人下的好一点,他是URL没有变,只把后面的包给偷偷的换了,这时候问题大了,很多的问题看URL没有变,然后他就把老包给你了,这样像很多小的运营商,或者是像社区里面,是小区里面的宽带,就经常的发生这种的情况,你明明看到那个包是对的,可是下起来就是不一样,这个是一个问题。
还有更恶劣的情况是什么?有些是用URL,有些是应用CDN的缓存,这里面,前面是CDN他们也做过三年的测试,在移动互联网的情况下,这些的挑战会越来越大。你可能今天用这个URL下的包是这个,过两天你会下到另外一个,在广东下的是这个PDK,在北京下的是那个PDK,我们怎么来保证?或者说作为,因为每一个URL你有两期下他可能是没有这个问题了,是自己担责任。我们因为所有豌豆荚有PC客户端,有Android的客户端,我们能做的事情更多,我们下面看一看我们是怎么解决这些问题的。所以今天我们会来看看说,挑选一个最安全的应用,他应该是怎么样的事情,我们先不说是怎么做的,是想象中是一个什么样子的?我对这个问题有三种做法,第一种是最初级的做法,看品牌,你去下一个应用,你看名字我有听说过,你感觉靠谱就下了。像刚才的图片我们有看到,这个地方有个叫直接下载,右边有大概8家市场,加上面的两家是10家市场,你到底点哪一个下载这个应用呢?他们是不是下下来的东西是一样的?这个是靠运气。因为他没有告诉你这些版本是什么,他也没有告诉你这些AND是什么,他也没有告诉你这是统一的AND地址里面的所有的下载地址,这就是最初级的,中级一点的做法是什么?尽可能把所有的信息罗列出来,这个我不管了,你自己看着办,这个没有了,这个有广告,这个用户说这个好,那个用户说不好,我也会把所有的地址列出来给你,包括早期或者说是几个月前,豌豆荚也是这么做的,因为我们没有办法智能的判断,所以我们是把所有的信息都放出来,你想下载的人自己看,觉得这个没有问题就是下了。其实这个事情可以做得更好,也就是所谓的高级阶段,能够自动的做分级过虑,同时可以智能的挑选出来,你应该去下哪一个应用,我们打个比方,愤怒的小鸟,大家可以看到,最上面的这个版本是2.1.0,是21万,下载2.3.0,可能开发者都知道,这个东西听起来上面那个好像不太对,其实上面的两个是盗版的应用,我们看到其中还有一个通知栏广告,但这些的东西是从市场上下下来的,2.3.0这个是真正官方版,他有几大市场给你提供,包括下面还有一个官方版,所以是两个包。那怎么样能做到真正下到的是这个,而不是要自己判断,这个就是我们过去几个月我们在讨论整个应用搜索,我们做的事情是怎么智能的挑选出正确的应用,所以也是第一次对外跟大家交流,讲一讲我们是怎么做的。
我们主要分成五个步骤,第一个主要是安全扫描和策略这个主要是依赖于我们的合作伙伴给我们的支持,二就是广告扫描,另外就是数字签名,和挑选策略,挑选策略就是上面这些的策略包括其他的策略,我们是怎么从这个挑到最好的那一个,以及最后一个给我们证明,这个比较好。最终我们保证生成出来的所谓的排行榜这10个,他是通过这些算法生成出来这个,你在上面下是没有问题的,我们先来看看安全检测,安全检测这里面的话,这里面我们先后引入了金山,腾讯,360,LBE,这4家的安全厂商,也是国内比较有名的安全厂商给我们做支持,同时我们把所有的安全信息全部让他们出来,你在豌豆荚里面,浏览任何的应用,这右上角会给他他的安全状态,是否可疑是否有广告,每一家是怎么判断的,哪一家认为安全,哪一家认为不安全,都会给出来。同时我们也会做分级处理,就是有两家认为这是安全的,所以刚才第一个我也说到,国内对危险的定义,每家安全厂商有自己的规则,我们也很难说某一家是百分之百对的,两家认为危险的,这个就不靠谱,我们就直接下线了。如果有一家认为这是不安全的,右边这个五子棋为例,有一家LBE认为这个是不安全的,另外两家是OK的,我们会给用户选择,但同时用户在下载的时候我们会弹出一个框,说某一家认为不安全,你是否真的要下载,我们推荐他去看别的版本,就回到刚才的页面,你可以自己挑,或者你选择不下。
作为广告,我们应该是在6月份左右参与做这一块,也是业界应该算最早做这一块的。包括后来其实金山做的也是最有名的。现在应该是超过了支持百家的广告检测,然后跟安全一样,在移动上去的时候,也会告诉你是不是有通知栏广告,是不是有内嵌广告。同时对于广告的处理策略也是有分级,第一个我们在所有的下载位置,会优先推荐无广告的,就是说如果是同一个开发着开发的你的版本,有的有广告,有的没广告,你的版本是一样的,我们会优先推荐无广告的给有用户,如果是有通知栏广告的,我们会蹦出一个窗口,强烈的阻止用户你不要装,其实这个事情怎么讲是对用户负责,对我们讲等于我们的分发量又少了一个,其实这个是很有利的事情。
我们来看一个稿子,这个大概是两周前的排行榜,这边有一个叫水果忍者中国天津争霸,另外一个叫水果忍者,这两个应该都是水果忍者自己出的。这两个也都是开发者本身在某两家市场,或者是几家市场嵌入了通知栏广告,也就是同一个东西有通知栏广告的,也有没有通知栏广告的,这个在排行榜是第四名和第六名,也就是用户在下载的时候我们会蹦出那个提示框,我们看看两周之后发生了什么?两周之后这两个应用在TOP10里就不见了,反而是另外一个水果忍者的高清版上到了第四名,他是无广告的,说明这个应用非常受用户的欢迎,但是用户也很烦这种通知栏广告,他们会自己挑那些没有东西的,就慢慢慢慢的把他顶上去,其他的一些下发都是各种各样的,比如说像极品飞车PC端版,这个是自己独特的,在某一阶段欢迎,某一阶段不欢迎。
对于签名的降链,我们也是在7月份的时候手上有一个官方版的概念,现在在每一个市场都可以判断一个叫官方版的标签,这个也是为了解决google play和广告市场大家各种盗版的问题,同时我们做了一个开发者版权认证,就是如果哪一个应用是你开发的,你就发一个你的法律声明,豌豆荚会把你各这个版本当做官方版,其他的不是官方版,这样来保证不受影响。另外我们也会引入像google play,他也做了很多认证,相对而言,有一些靠谱一点的,或者是有一些同事他就是比较喜欢google play下游戏,这个没有问题,我们把这个中心放过来,像很多国外的开发者,他们没有办法到国内来开展业务是通过这个办法操作。另外如果这几个东西都没有办法决定, 我们会吸引用户最终选择,其实我们都知道,用户下载了应用,他觉得这个东西有问题,他慢慢就会把它卸了,最终用户用的一定是没有问题的应用。这里面有一个很大的计算量,我们几千万的用户,拿过来,我们每天要计算,算出来哪些东西在用户里面最受欢迎的版本,最受欢迎的签名,然后来抉择。
以水果忍者为例,像上面两个版本其实都是盗版的,这个有一个标签,后面的正版那个标签没有放进来,但是默认选择你看我们建议的安装,这个是我们通过签名推荐出来的抉择,最典型的1.7.8版是官方版,我们注意到1.7.7版也是官方版,这个是说明什么?就是开发者放了两个版本,一个是有通知栏的版本,一个是没有通知栏的版本。我们目前的策略是相信开发者,他自己觉得他要加一个广告,我们也不阻挡他,但是我们会在下载的时候给用户更多的选择,包括如果他不想下,他点更多的版本他会到这页面他会自己决定下哪一个。
除了签名之外,我们也讲讲,像刚才的三四个策略我们讲到一个优先级关系,首先我们会选择官方签名的最新版的,因为Android市场跟IOS市场或者是其他的市场不太一样,他是通过(英语)来判断哪一个版本,所以就很多盗版的人他会给一个开发者发一个东西,像刚才我们看到有十几万的,就是调的高,以为是新的版本了,所以有些升级的时候都没有做签名认证,给用户升到了完全是盗版的应用。这个在我们的市场是比较的常见,有不少的商店都有这个偷偷摸摸的做法,通过这个做法来拉动你的分发量或者一些其他的目的。其次我们没有办法拿到官方签名,我们会挑选用户认可最高的那个签名的最新版,这样就能保证最大程度的不出问题,同时对于安全和弹窗广告,我们都会把他考后的优先选择,是同等策略选择无的。对于首页策略是,好评度不低于30%,以及有这两个问题的都不可以上首页。排行榜除外,因为我们认为它是用户驱动出来的,所以有问题他也可以被那么多人下载,只可以说明这个东西非常的受欢迎。上去也无妨,通过更多的提示来做,刚才那两个排行榜也说明了,就是这些的应用,即使能上去,很快被挤下来。
同时对上面这些都情况一样的情况下我们会挑选市场质量高的,这样可以保证的目的是什么?你到了豌豆荚来下载应用,不管是在排行榜,在首页,不管你在其他任何地方,你看到安装按纽,你点这个安装就是默认推荐最好的那个应用,不用你想太多。就是所有的安装都是通过这一整套算法之后算出来的最好的,当然你不相信你想看看其他的是什么,你点那个更多版本,你可以自己做抉择,通过人肉的方法来挑选。
对最后一公里校验,其实是这样,我们刚才也讲过,同一个URL会下的东西可能是另外一个,你本来想下微信,你下的是新浪微博,怎么办?我们现在的做法是,我们会通过两个客户端来做校验,保证首先你下下来的东西跟想要下载的东西是一样的,不管是包名还是你的包都是对的,这里面有一个的事情,有些的商店,他同一个URL比如像这个是微微信的URL,你下下来的是MB5,你下载下来变了,他不是微信了,还是一个应用。还有一个是URL也是对的,但是有别的问题导致它的包不对,我们在这两个发现有问题的时候,或者是这个被仿冒了,比如是天津的用户或者是广东的用户没有办法下载到正确的版本,我们会重新请求我们服务器另外一个接口,给他在这些的我们能看到的市场找一个等价的版本,同一个版本,同一个开发者,给另外的一个URL,能最大程度的保证能下到,这个接口每天看有不少的量,有几十万量级吧,是因为这个情况,所以这个问题是非常的普遍。
其实对整个Android市场,我们都知道,这个问题非常多,没有最好,只有更好,我们最头疼的一个问题或者说是开发者最头痛的一个问题就是Android的分裂以及适配,你开发一个应用在这个手机型号可以,在另外一个手机型号就崩溃了,这个问题是非常的头痛,我们接下来也会在这个上面做一些事情,所以有开发者对这个感兴趣的话,我们可以交流一下,看怎么样把这个东西做的更好。Android市场变化是非常快的,去年还没有几千万用户,今年已经几个亿的用户了,这里的厂家是非常的大,我们今天也是希望跟在座的开发者来聊一聊,看看怎么样来应对这些快的挑战,快的变化,我们怎么解决这些事情,这个也是我们比较希望做的事情。我的分享就到这里,谢谢大家。
范路:Android这个里头看来还是很危险的,告诉我这个招商银行居然还有好几个这个事,吓了我一跳,然后我要赶快把我的招商银行看一看要怎么处理这个事情,这个实在是太恐怖了,我自己都没有想到过,微信有几个我就很惊讶了,招商银行不是一个,这个事实在有点太耸人听闻了。然后我们下面请来自金山的陈章群来给大家分享,讲一些事情。刚才豌豆荚的演讲的时候有一点我觉得是非常的快乐,他们不知道到底要相信哪一个安全厂商的,然后就装四个,然后有两个报警的就说这个是恶意的,然后让我想其在中国一个很著名的机构是天气预报,今天的降水概率是10%,10个人中有6个人说今天要下雨今天就是60%,采用这么一个欢乐的方式确定一个应用是善意的还是恶意的就是太有趣了,这个是很有特色的一个事情。
陈章群:我是来自金山网络,现在主要是做手机安全,我今天跟大家做一个分享,主要是讲最近大家应该都听过的,短信漏洞,还有一个我们金山网络在做的手机一个新的分析系统,主要是这两个部分。短信漏洞的话,实际上短信漏洞大家知道只有一种,经过我们的分析,实际上在市面上用的比较多的,或者是目前我们所遇到的有三种情况,第一种就是说的直接使用收件箱,这种大家只要是做移动开发的人员都知道,只需要申请这两个权限,写权限然后和读权限就可以实现,像本机发任何的短信。这样的话可以给大家稍微看一下这些代码,今天也是说的开发者技术交流大会,然后可能不是很清楚,我可以简单的讲一下,像他的整个升级权限之后,他自己只需要根据Android里面,整个短信应该怎么构造,按照这个结构依次填充,填充类型还有电话号码之类的,直接调这个函数,这样的话就能实现最简单的只需要加这两个权限就可以欺骗用户的,然后最终的效果是什么样的,给大家看一下,这边所写的一些代码,那边能看到上面写的收到短信是10086发的,对应的内容是这个,其实像这种的话,我们人肉眼很难看出来,到底是10086发过来的,还是本地构造的。这个我们是很难发现的,这个是第一种情况,利用权限发的这种。
接下来给大家讲一下第二种,第二种的话也就是前一段时间,各大安全厂商也在炒的这个东西,这个的话是一个纯利用Android系统漏洞的,利用安全漏洞构造出来的一些短信,他有一个非常好的地方是这样子,他整个安装过程中是没有申请任何跟短信有关的权限,但是他能够实现发,就是你打开可以实现本地,一个收消息,相当于收到一个假的消息,比如我这里写的这个,刚才那个感觉10086没什么危害似的,我可以给这个看,整个内容是可以做的非常精确的,他可以根据你的联系人,和你联系人给你发过什么信息,做相应的构造,这个是非常精确的,目前已经有部分恶意的订购有做这种事情,然后下面对应的是这个,这个稍微简单的讲一下,这个方式最主要是自己去构造PDU,这个是PDU短信的整个结构体,全部是自己构造的,构造完之后,然后在直接调用系统服务,让系统的短信处理服务程序,直接接受参数PDU的结构体参数来启动服务,这个问题的根本就在于Android自己对这个服务,所有的参数者做安全判定的,也就是任何人都可以对他存一个参数,然后他直接执行,是没有权限判定的,这是一个漏洞。像这个漏洞最终出来的一个效果,给大家看一下,这是当这个内容是我伪造的,这上面写得相当与伪造10086充多少钱,送多少钱,他实际上,如果我们用肉眼是看不出来是伪造的,甚至你可以把网址换成网银帐号之类的,或者是你的好友发的银行帐号,我在前几年跟我的一个朋友寄钱,他发来短信跟我说,没钱了,然后让我去寄,我给他打,但是那个不是伪造的,我给他打了,但是我当时有一个感触是什么,像那个中国银行,他的中国银行的邮寄东西过去,转帐过去是不需要帐户名的,也就是说,假设这个里面换成是攻击者的银行帐号,然后你通过中国银行去转帐的话,他是不验证用户名的,这样的话可以百分之百把你的钱骗走的,如果金额不是很大,银行也不会管,所以这个危害挺大的,我用中行的时候给我的感触,我也正好是用的Android的手机,这是第二种方式。
这种方式总结来说,他其实就是自己去构造,或者填充PDU然后在直接调用短信处理程序,调用之后,整个插入短信由系统自身完成的,他的伪装程度更高的,大家收了后一看是一个未读的短信,这种是不需要权限,去构造的这种,还有一种是这个实际上是在部分HTC或者一些小的厂商,或者是第三方的软件,他们在做这些,他们在写那些处理短信的时候,跟原生态的Android系统有点不一样,原生态的Android系统,必须要判断这个广播权限的,发短信的权限的。像第三方的或者是HTC的实际上是不判断的,忽略的话就会产生新的漏洞,新的漏洞是什么呢?他只需要前面一样的自己去构造,跟前面那个漏洞有点一样,但是有一点不一样的方式是哪里?他这种构造方式是不需要启动系统服务,他只需要向系统发一个广播,告诉我这个是要收消息的,有广播,发送这个广播之后,你的收件箱里,就会发现有对应的一些构造短信,这个的话,跟上一个代码很相似,然后代码本身是很相似的,唯一区别是什么,前面那个系统漏洞是需要自己起系统服务,自己去调系统服务的,像这种的话是不需要的,不需要调你系统服务,所有的操作都是正常的,就是你碰到那个HTC发的一个短信就像普通写一个发短信的就可以了,这个的话也是有实际应用的,实际已经有病毒在用这个,前段时候也炒过,这个的话,我记得是在网兜还是什么,这么做的。这三种就是这个和前面的两种,目前所发现的三种插入短信的漏洞,也就比之前,像这种的话是外面报出来的,但是第一种和第三种外面没有做什么宣传,因为那个危害挺大的,没有怎么做宣传,所以这新的两种方式。然后那个,接下来给大家做一个简单的演示,大家可以看一下,实际的一些危害,并且这个应用当然这个应用本身是我自己改过,没有加其他的一些恶意代码或者怎么样。像这个我安装的话,就是这个水果忍者,就是刚才我自己安装的一个程序,像这个程序的话,我实际上做了一些改动,在我们玩这个游戏的时候,大概30秒之后,我会尝试弹出一个所谓充话费的短信来。
范路:今天是我做IT龙门阵技术专场,头一次碰到现场写代码,也是比较稀奇一个事情。我跟大家讲一个故事,有些恶意软件还是蛮受大家欢迎的,有很多用户喜欢的这种恶意软件,我有一个市场看到有一个软件叫做深圳公交车万能公交卡,深圳市万能公交卡,可以发出扫描滴的一声,就是你用这个手机上公交车,上那个扫的时候,你一按,滴一下响一下,然后你可以上车了。会有很多很欢乐的程序。
陈章群:像这个是我的设计时间长了一点,这个是30秒。其实我设这个时间主要跟大家演示一下,像病毒可以做的非常精确,大家可以看到,我现在有一个短信,相当于一个未察看的短信,这个是我刚才玩水果忍者的时候,水果忍者自己给我弹的,大家可以看,这就是恶意本身弹出的一些内容,这个内容非常有震撼力的,我们可以换成任何,这里面他可以改的非常的精确,可能大家这么看没有感觉,最简单的,哪天你朋友给你发一个帐号之类的话,那这个时候他只需要做一些监控,他就可以其他内容都不替换,把你的网银帐号,或者所谓的银行卡替换就可以做到,当你发现10086替换的是你自己朋友短信的时候,因为大部分人都会相信,真的是自己的朋友哪一个,刚才有QQ上的朋友大家会觉得,他被盗号。如果刚好有一个朋友发帐号向你借钱,就非常危险,这个就是漏洞本身,可以伪造的非常精确,然后像这个漏洞的话,实际上现在目前各大移动安全厂商基本上都支持了。像这种漏洞的话,我再简单讲一下,这些漏洞怎么去防范,像第一种情况的话,可能更多是大家在安装的时候,可能要稍微留意一下,因为整个Android安装的时候会提示你他使用什么权限,并且在Android试点2版本里面,他新加了一个功能就是对危险的权限申请的时候,他会以不同的颜色来标注出来,可能存在一些安全隐患,像这种的话大家在安装应用的时候多留意一下,如果发现一个应用在写短信和读短信的市就要稍微留意一下,一般来说,除非像短信管理软件,否则其他类的可能就稍微留意一下,可以不用安装可以不用安装的就尽量不要安装,毕竟这种的话,人肉是很难看出来的。
然后第二种情况,像第二种和第三种,基本上人肉是看不出来的,这个的话也是建议大家装这些安全软件还是用的上的。然后像短信本身,然后我再讲一下,关于移动应用行为分析,有些像短信漏洞这种,可能我们直接看不出来,当然有一个方法就是可以试一下,行为分析的一些软件,就是分析Android的APP是不是正常,像那个目前比较流行的一些行为分析的比较知名的主要有几个,第一个是(英语),我个人感觉太技术化的一个东西,你整个东西安装下来,他是一个本地行为分析器,主要是分析Android的APP是不是安全,但是他整个东西是要你把代码下下来,自己修改,这个有一个不好的就是让整个配置太烦琐了,专业性太强,一定要你熟这个东西,懂开发,对Android比较熟的,对Android安全也是很熟的人才用的上,所以这个的话,我个人感觉基本上没什么用,因为第一个你要去理解开发者的一些思想,否则整个东西不知道从哪里改,改了是不是有问题,整个东西都是挺困难的一个东西,这个基本上我只看看,实际上自己都没怎么去用,第二个是一个国外的网站,他这个是一个在线分析系统。像这个的话,这个系统目前其实跑的那个,这个我们可以稍微看一下,虽然都是英文的,但是整体上写的东西,相对来说人性化做的还可以,勉强可以,这个我们可以稍微的看一下。然后这里面也有一些对应的分析报告,我们可以稍微看一下。这个是基本信息,还有静态分析,还有动态分析,这些是具体的升级什么权限,什么服务,接受什么广播,权限使用情况,大概的东西就是他的东西本身都列了,但是稍微有点不太方便的就是写的东西太专业了,并且个人感觉重点突出不够,也就是大家看了,原来就这些东西,哪些东西是不是危险,还是怎么样。就是哪些有危险还是怎么样的,这个是很难看出来的,像这些的话,他的一些服务的,这是接受什么广播,服务他有那个广播类的,这是一个权限使用情况,需要什么权限,还有权限使用情况,这一点做的比较好的就是他的哪个权限,每个权限那里调用了都列出来了,他有一个问题是这种东西给大家看,其实还是挺难看懂那种。
观众:我问一下这个东西是要把应用跑起来再分析,还是直接分析代码?
陈章群:这个是分两个部分,目前的在线分析器,基本上是两个,一部分是静态的一部分是动态的。基本信息比如它到底有没有一些权限,或者权限调用情况,他这个直接进来可以跑出来,但是如果是什么情况下,触发这个行为像这种的话就要动态分析了。
观众:我问一下如果他只发信息代码的话,他怎么知道他里面申请什么权限了?
陈章群:这个实际上是可以看出来的,只要稍微懂一些最终的时间可以转换成中间层解释代码,就可以找出他的API调用。当然这个有一个局限性是什么呢,假设对他的代码进行了混淆处理。
观众:如果混淆处理的话,怎么把文件夹的调用的痕迹抹掉?
陈章群:如果是混淆的话他是找不出来的,他只能动态跑。
刚才说了,这个是动态的,包括网络,他去访问什么网站,访问什么东西,其实都是有列的下面,但是他的报告有点,个人感觉有点流水帐,写的非常杂,非常乱的那种,这是他对外发包的一些数据,像国外来说,这个在线分析,这个算是做的比较好的了,像原来那个西安交大也有做这个系统,实际上总体上,比他的还是差一点,跑的稍微慢一点,这个说的是国外的这个,然后还有一个就是我们做的,金山网络做的火眼系统,我后面再简单的讲一下,然后火眼系统总体上来说的话,我们目前会做的一些内容,就是常见的包括一些恶意的或者正常的我们所关心的一些安全方面的东西都列出来。它主要是涉及了一些,有些是危险行为,还有权限列表,其他行为什么什么的,然后权限列表和启方式,还有一个文件操作、网络操作一个截图,刚才说的有不少开发人员,会在想,为什么我开发的一个程序会通不过,其中这里面从目前的安全厂商的一些判定,他们其实有很大一部分是根据权限列表来做的,就是看你有没有使用,比如说是一个,你可能是一个游戏,然后你去读取,申请了一个联系人的权限,他可能理解你可能是危险的,像这个的话,我可以跟大家说,像这种就规避,基于目前的情况,国内很多开发者,大部分是从网上复制代码,大家在复制代码的时候稍微注意一下,有些权限是不需要使用的就不要申请这些权限了,要不然可能会导致很多的杀软会干这个事情,一看随便一个什么软件,申请一大堆权限,这个是非常危险的,开发者稍微注意一下,真正需要什么权限的时候再申请,有些行为,我个人感觉,比如说我玩一个QQ游戏,你要读取我的联系人列表,这个是太不可思议了,哪怕你没有用,对用户来说也是一种隐患,他觉得这个是不安全的东西。
整个的话主要是这几部分,这里面基本上都是关系到一些,和饮食和安全相关的,我们所有的包括危险行为,包括启动方式都是跟安全相关的,跟安全不大的我们不会做的特别深,这个可以给大家稍微看一下,这个APP的话,实际上也是一个游戏来的,我们实际上会把他对应的事项,这个应用的话比较全的,他所有的危险行为,其他行为列表都有的,然后这个投影看的不是很清楚,像这些的危险行为我们是以红色方式标注出来,告诉他这个东西是危险的,可能这个方式不是很好看,给他直接看分析报告,直接到连接看一下。
像这个大家可以看一下,他是说名字叫这个情景分析助手,实际上他做的事情,一个助手他会去读取你的好友列表,你朋友给你发的短信,他会看他短信什么内容,比如说是短信的,然后是收到一个特定的,祝福什么的,收到这个短信他会在做一些特殊的处理还有这个和谐中国,这种的话他跟服务器一个通讯,还有一个套餐,比如说像这个的话,实际上会做一件事情,他在后台,偷偷的给你定一个什么套餐,订完了之后,像我们都知道订完了套餐之后对应的那个服务商会给你回一条信息,告诉你是不是要订阅一个套餐,确不确定,像这种软件会把那个回复短信截获帮你直接回复订阅,订阅后的确认短信也会删除,像这种时候,这个就是非常明显的恶意扣费的这种。像这个是判断一些敏感的电话号码,在这里面电话号码是云端控制的,他可以监控任何他感兴趣的电话号码,和电话号码里面的内容,给你发什么内容,这都是有的,像其他行为里面,会把你的手机,比如说你手机安装了什么应用,这个东西安装应用,我不知道大家怎么去理解,我觉得这个是侵犯隐私的,比如说找手机应用就能够知道你这个人是干什么的,基本上可以猜的七七八八,看了你的联系人之后,他基本上能够知道这个手机用户是干什么的,他的喜好是什么,都是非常明确的。像我这种从事安全的,我可能就会装各大安全软件,手机安全软件,我又会比较喜欢股票的,我会装一大堆手机股票软件,这样的话他获取之后,就可以搜到非常精确的点对点的,投其所好,比如说发现你对股票比较感兴趣,发一些股票的诈骗信息或者怎么样,如果说你是喜欢上网的,他可能给你发一些网上的东西给你,这个具体都可以控制的很精细的那种,接下来他还可以获取手机的信息,手机号码,就是你本机手机号码,传到他的服务器上面。像这种应用基本上,只能是靠程序跑的,能分析代价很高,第二个大部分的人、不是很专业的人其实看不出来的。像这种的话然后我们这边的权限,像我们火眼做了一些精简操作,哪些权限是用了,这个程序里面有些没用的,关闭进程的这种没用的,这些没有用的权限,实际上对于我们正常的开发者来说,有些不需要的权限也是一样的,没有用过,建议都是直接不要了,不要去申请这个权限,像这种权限的使用,还有一个开机服务,开机的时候会提供什么服务,会干什么事情,这个应该是发你的手机信息,发到他的网站上面去,然后下面的是一个截图,这个截图应该没什么,对有些那个东西我们可以看出来,实际上国内的一些应用,不管是恶意应用还是正常的应用,这些应用的话,基本上都是流行于捆绑正常软件的,很少说国内的一些恶意软件,一跑出来就是直接的恶意行为,比较少的那种,所以大部分能看到,截图能看懂是相对正常的截图,实际上像这种,我们单看这个图看不出来的,实际上这个东西就是有问题。
然后我刚才说的像我们手机本身会把一些危险行为,都会做出对应的一些分析报告,然后那个手机火眼目前可以识别的一些敏感行为,实际上有30多种,我就说一些总结归纳的说一下,跟隐私相关的,主要是把上传手机号码应用列表未知信息,还有一个读取短信,给手机联系人,这个就是跟我们隐私相信相关的,他拿到你的电话号码,还有你的联系人和你所在的信息和你的短信,都非常精确的定位出你是干吗的,在哪里,可能你目前想干什么事情都可能知道的,这个绝对不是危言耸听。国内的话,在APP方面来说,目前来说,没有一个规范,所以这个市场是比较混乱的,像目前国内一个比较大的,游戏厂商,就是代理游戏的,叫乐豆,不知道大家有没有听过。乐豆的话上传你的电话号码,你的朋友列表,你的朋友联系人的电话号码,联系人的邮箱,联系人的家庭住址以及你的谷歌帐号,都会上到他的服务器上面,这里面乐豆的游戏我可以跟大家说一下,这个乐豆有几个,有代理,水果忍者,愤怒小鸟,并且下载量都是,因为我自己翻过,下载量都是上百万的,这种的话,单纯从认证方面也搞不定的。大家到时可以看一下,我看过的就是各大电子商场里面,单纯靠静态的分不出来的,像目前的话,这个实际上是我们在十八大之前发现的,当时是十八大的原因,也没有对外公布这个事情,这个危害真的挺大的。像目前据我对他服务器的一些测试,他上传的联系人列表,超过500万的,数据量非常大,并且他目前后面是由于服务器压力,或者是安全问题,目前是把服务器关闭的,他这个怎么做的呢,他的做法是你的手机开机之后,10分钟内会尝试上报一次,上报的时候有云端控制,你要不要上报,如果要上报他会把所有信息上报上去,用于干什么我就不用说了,你想干什么就干什么,这个是隐私相关的,在这方面的话,由于国内没有一个行业标准,所以大家都可以,现在来说,很多游戏厂商,想怎么做,就怎么做,也没有人管他,但是这个东西确实是侵犯个人隐私的,这个大家都比较感知的,是一个骚扰相关的,可能你装了一个,不知道装了什么软件,每次一开机,就出一大堆的广告,然后或者是像我有个洁癖,我基本上快捷方式都喜欢删掉了,有些软件就是这样,你删了重启他又给你安装上去了。像手机会员会把这种弹出通知栏和桌面快捷方式,这种的话也会分析出来,还有一个资费相关的,这个肯定就不用去讲了,刚才给的那个事例可以看到,他就是很典型的SP扣费,对你的短信进行拦截和一些的处理,这个是和资费相关的,其他的还是有很多行为,我就不在这里一一举例了,细节非常多,手机里面我们还做了一些,有些软件,手机会员他会在特定情况下,才会触发一些行为,对于目前来说,对第一个面板的一些按纽,会尝试一个模拟点击,比如说同意什么协议之类的我们也会尝试去勾选。第二个就是广播发送类的,这种就是开机之后,才会弹出广告栏或者是解锁之后才会做事情,像这种广播发送的我们也是做了。
其他的主要是整体的手机火眼,最主要的是把程序中的敏感行为,这些的敏感行为是像我前面说的一样,隐私的,骚扰的,把这些敏感行为分析出来,并且做这些分析报告,这也是我想说,这么自夸的说也是我们手机火眼相对国外做的好的,我们不是简单的写一些流程分析报告ICO总结和归纳性的,去写一写可能不需要太多专业知识都能看懂的分析报告,目前的话合作因为手机火眼,做的话我们大概是做了一年多,但实际上开放的话是前段时间才开放的,因为前段时间一直在测试,跟手机火眼合作的现在还没有开始做。
然后我最后再做一个,拿了一个分析报告,大家没有太大感觉,我现场的给大家拿个样本来跑一下。现在每天我们手机火眼每天能跑的压力大概是跑1万多,目前实际上量没那么大,基本上每天,单靠用户上传的量还是比较少的,在手机方面,大家对这方面的安全意识还是比较薄弱的,所以单纯看这里的话,其实不多。大家看一下,像百度这种的话,就是比较正常的,他也会说获取手机信息,这个是一个百度地图,他获取位置信息,然后加载什么东西,这个的话,加载ISO主要是拿来加速吧。下面这些是对应的百度地图,它的权限使用情况,其实像百度的话,他会用到读取短信,他这个主要是方便你发给联系人的,他也会读你的联系人列表。这个已经跑完了,大家稍微看一下,这个实际上这是一个典型的恶意软件,它是通过网兜进行传播的,首先是发短信发到哪一个电话号码,来发到这是作者的电话号码,然后发到云端上,进行通讯,通讯的时候他会反馈,反馈之后然后还会拦截一些特殊号码,像1065的都是SP定服务的一些电话号码,像这个都是很典型的,像这个定了SP之后,如果发现是10086回的短信,他会做相应的处理,处理以后把你对应的10086的对应信息全删掉,他还有一个典型的就是终止进程,这个的话主要是把其他应用删掉,目前主要是跟安全相关的,像手机的,卫士这些都会去结束,这个做的事情比较多的,最后还有彩信,他会监控彩信,监控彩信是为了发他自己广播,在你机器上发彩信。像这个网络,在这个时间里面,看到网络发包主要是发你的手机基本信息,其实他上面的拦截这些的东西最终是由他的云端来控制的,云端控制他干什么干什么,这个主要是我演示的一个手机火眼的。
然后我今天要讲的东西基本上讲完了,主要是跟大家做一个分享,漏洞的,还有一个是一些行为的,还可以在做一下广告,大家如果对应用不放心可以试一下手机行为,跑一些行为,然后我觉得其实豌豆荚后面是有必要要这种类似行为分析的,因为从我刚才说的像漏洞的一些游戏,其实目前在豌豆荚里面排名还是靠前的,这个是没有办法识别,这些主要还是靠动态来识别,我讲完了。
范路:下面的环节就是要互动了,我们看看,现在的人也不是很多。看看有什么问题要问他们两个,首先是让他们两个可以互相问对方一个问题,首先从豌豆荚开始,你想问金山一个什么问题?
丁吉昌:刚才你们发现那个漏洞什么时候上市,因为我们也有他的安全服务,但是没有报他的危险信息,报过来的话就会有提示?
陈章群:是这样的,你接的应该是手机卫士的,我们目前主要是在手机毒霸里做的,下来可以再对一下。像整个移动安全的,都会往手机毒霸这边移。
范路:下面的话让金山的问豌豆荚一个问题。
陈章群:我想问的其实在目前各大电子市场上面其实没有一个安全标准,这个氛围其实都没有,对于你们现在那么的大的用户量你们怎么在这方面怎么让用户更安全?
丁吉昌:刚才也大概讲一下我们的安全策略,首先我们从安全厂商研究的比较多,我们把安全厂商的所有结果接入进来,如果说这一家说这个有用户,我们就给用户提示,如果有两家说有问题我们就给他下线。同时我们用的安全是一个很广义的问题,不管是像广告这种,或者是像盗用这些问题,这种都属于安全的大范畴,所以这些问题在我们的安全策略上都集成进来做的,包括国内几十家的市场,所有的APP过来以后,都要全部通过我们的三四家安全厂商全部重扫一遍,所有的结果我们会重做,所以这个也是一部分的做法。
范路:下面大家有什么问题?我刚才看到有不少做安全的朋友在现场。
观众2:我想问一下豌豆荚的丁吉昌,我想问一下你们豌豆荚手机的客户端在后面有没有做用户行为的分析,会收集用户的哪些数据?
丁吉昌:关于隐私的问题,我们网站上有一个页面,是专门在今年3月份的时候,专门写了一个帖子很长,是介绍我们是怎么样来做用户行为分析这一块的,或者说搜集那些数据,所有的都有写是非常的详细,如果你对这个感兴趣我可以建议你去看一下,其实我们遵循的标准跟业界的差不多的,像刚才讲的数据,所有的用户手机升级都要在服务器上面请求,这些数据是用户在用的时候都是可以知道的,他也知道这些东西豌豆荚都会收集,碰到事都有写我觉得你可以看一下,如果感兴趣的话。
观众2:我问一下例子金山毒霸的陈章群,刚才丁吉昌提到的这些行为能不能通过火眼分析出来,就是他在后面搜集的用户的哪些数据?
陈章群:手机端的话没有跑过,一般应该是可以跑过,这个我可以试一下,但是APP比较大,我们现在最主要是对APP是有一些发表限制的。
观众2:还有一个问题,你刚才介绍了一下火眼的使用,你介绍一下火眼具体技术上的,能给大家一个简单的介绍吗?
陈章群:这个可能有一些是公司隐私方面的,我可以说一些简单的,通用的,都知道大概怎么回事的,更多细节是公司商业的一种,我不方便透露。这个我可以补充一下,像手机火眼,或者是国外的分析系统,他们主要从做法上来说,大体有三种,第一种就是国外的就是改ROM的,就是改他的虚拟机里面的一些虚拟机里面的系统文件,就是改系统的API,再加一个ROM文件,去监控他的行为,监控之后,通过绿色去过滤,这种是一种方式。然后第二种方式的话是做的APP拆包解码。不知道这个说的是不是比较的专业,大概的意思是先把他译成一个代码,对这个代码进行相应的一些操作,做完之后在这些敏感的操作里面,加上特定的一些标记,再通过文件去监控,这是一种方式,然后目前手机火眼的话,主要用的是第二种方式,第一种方式也有用,但是第一种方式的话,他们俩是各有长短,第一种最主要是监控的太多了,就是很杂的,信息量非常大,对于你要做的非常精确,关于线程和进程的话,他效果不是特别好。像我们采用第一种和第二种做一种互补,他就有一个分三级的一个东西,加一个改系统的ROM,大概方法就是这样,判断方法你知道。
观众3:我是百度移动用户的产品服务,我对豌豆荚丁先生智能挑选非常感兴趣,我想请问一下,您对五子棋或者斗地主没有一个非常标准的官方版你是如何做智能挑选的?
丁吉昌:刚才有讲到是否官方版,最准备的定义这个是不是你自己开发的,这个应用不是被别人改过的,但并不意味着说五子棋全球只能有一个,这个是没有通用的。因为你也没有拿到版权证书,没有那么的复杂,也可以拿到代码。对这类如果开发者自己本身开发的,我们有办法证明他,他就会有官方的标签,表示这个应用确实是他自己开发的, 而且出了问题他能负责任,不管是公司还是个人,他总是有一个相应的证书,这是一个办法。另外一个办法我们刚才讲到,这个办法我们没有办法区分出来,或者说单纯是个人,凭数据,你是很难有法律证明的,对于这种应用,还有一条,就是信任用户开发,在所有的用户里头,哪一个存活率最高,应该是最受欢迎的,尽量会在我们知道的情况下,和分析用户的情况下,会给他一个更好的结果。
观众3:这样做的话,更多官方软件会不会太多了,因为现在很多开发者,相对来说可能质量比较差一点的应用,他们也都会有这样的问题,这些人都会获得官方网的标签吗?
丁吉昌:我觉得官方版我们理解,只要认为说只有10个应用,或者100个应用只能有官方版,我们其实要做的事情我们保证所有的应用是开发者自己开发的,那他就是官方版,其实这个定义跟盗版应该是相对的两个。
观众3:第二个问题对那些常位开发者这个智能挑选是怎么处理的,你们会对他进行一个推广吗?
丁吉昌:我们讲的策略里头,不管你这个应用是超过一千万还是你应用是10次,策略都是一样的,安全广告以及其他的排名策略是一模一样的,没有区别,我会认为大的流行应用,最早是从古开始起来的,而且大家也会投票,找出那些东西,实际上我觉得这个问题影响不大,规则是统一的。
观众3:还有一个问题,将来提到关于适配的问题,智能挑选能不能做到,比如说现在Android市场自动化很严重,可能还有一些是常版,豌豆荚能不能做到针对不同的分辨率,来跟他进行一个智能的适配,比如说对一个平板的用户,直接推荐一个SP的应用?
丁吉昌:我明白你的意思,有一些我们已经做了,有一些是正在做的,理想的目标是你刚才讲的,我们要确认目标,实际上现在不管是国内的商店特别是游戏,有很多APP是不一样的,他因为代表的不是同一个版本不同的分辨率来做的,这个水比较深但是我们在努力,如果有兴趣的话我们可以在讨论讨论,看看怎么把这个做得更好。
观众4:这个问题我是向金山的朋友提的,我也是做手机安全的,今天是来学习的,以前我是做PC的安全这块,刚才听了一下,手机的行为分析这块,跟PC有种差异性是吧?
陈章群:这里面手机跟PC差异还是比较大的,这么去讲吧,PC的话,可能更多是一个散文件,更多是多个地方,PC跑的时候必须要分开,如果带几个的话,那他的分析代价或成本是非常高的,但像手机的话比较单纯,手机就是一个包,不管你怎么折腾就是一个包,最多里面在加一个SO,在加载一个ADK,最多是这样,像这个是有点不一样的,还有手机上面的东西分析起来,实际上比PC的要相对容易,因为他的整个规范,相对来说会定的比较死,并且手机方面像Android他自己也有一个砂箱,他每次进一个所谓的危险程序之前,他先要申请这个权限才能调动这个API,PC上没有这个限制,PC上最多多了一个UAC。像手机上的话其实没有这个问题,我理解这个也是跟PC上不一样的,还有一个整个其实像其他方面的话,我感觉应该差不多。
范路:因为我刚才看到微博有人说,听了两场Android讲座以后,决定去买个iphone了,这个是非常激动人心的事情,苹果没有给我们一分钱,在这做了这么好一个广告,Android在安全这块,跟iphone到底差多远,你们可以分别说一下这个事情吗。
丁吉昌:其实我对这个不太懂,但我想说一个事,其实大家去吃饭的时候就知道,看过厨房的人都不敢吃了,今天你听了两场Android可能觉得问题很多,那有空的时候在去听听IOS的安全问题,可能会有新的想法。
陈章群:我说一下,这个问题是这样的,为什么大家觉得iphone好像更安全一样的,我说一个更实际的例子,iphone可以越狱,也就是说他越狱本身就是利用漏洞越狱的,既然他都可以越狱,他对应的漏洞也是存在,只是我们这次讲的是Android所以大家可能觉得没什么,其实对于iphone来说,或者是IOS来说,他也存在对应的后门,对应的扣费,对应的广告,其实也都对应有的,只是说我们今天讲的不是这个。
范路:我想问的第二个问题,很多人说Android手机要去找一个ROOT,但是我就没有敢去做这个事情,因为还有很多人说你的手机一旦ROOT了以后,相当于在裸奔,你所有防护的都没有,我想问一下你们这个问题是怎么做的,因为特别是像很多软件要求你有ROOT的?
陈章群:这个的话,如果是个人使用以我对移动安全了解来说,其实不建议大家ROOT因为ROOT之后,也就意味着,所有人都能干所有事情,没有任何管制的话,没有任何管理的话,也就是他做所有的事情,包括我刚才说的,权限系统的东西,改系统的东西,扣费的,所有的东西,他都可以做的很底层的,很底层之后,其实你是发现不了,也就起不到,Android本身有一个杀伤机制,他是不允许你在运行的时候,去截获其他进行的东西,如果你ROOT之后的话,对于你来说,就是个平坦的,整个内核都是平坦的,这样的话危险系数大很多,本来有一个砂箱可以保护你,不管你在这个砂箱里面干什么事情,都不会导致你整个系统发生问题,如果你ROOT了以后,也就相当于他直接穿透了这个砂箱,穿透砂箱之后你整个系统都是处于危险状态的,你还没有办法去发现它,这是我理解的。
丁吉昌:其实我的手机也没有ROOT。
范路:作为开发人员我们ROOT也就ROOT了,其他的人建议你们先站在箱子里面看一看,今天的话非常感谢二位给我们带来很多关于手机安全的事情,让我们看到大家在手机安全这块也做了很多的努力,然后今天因为天气比较寒冷,好像没有什么特别多的问题,我们今天这场活动基本上到这里,活动的最后一个环节,通常是最后两个环节,第一个环节是合影,然后下一个环节是冲上来找他们换名片。