顯示廣告
隱藏 ✕
※ 本文轉寄自 ptt.cc 更新時間: 2013-11-09 00:24:50
看板 MobileComm
作者 isoxxxxx (LP玫瑰)
標題 [新聞] 為何Android 設備資安漏洞一堆?研究:各
時間 Fri Nov  8 12:53:38 2013


android廠商太多慢升級或是不給你升級
bug修的速度當然追不上回報的速度:(


http://www.nownews.com/n/2013/11/07/1013799

為何Android 設備資安漏洞一堆?研究:各家預載app一堆蟲!

2013年 11月 07日  19:25

Android智慧手機廠不只發佈安全補件給終端用戶的動作慢一拍,他們還會假借區別各家特
色之名,塞一堆有bug的軟體在自家手機內。

北卡羅萊納州大學電腦科學系新研究指出,欲打造自家特色Android手機的廠商,往往很不
必要地在手機內預載一些app,又似乎不會隨時間改善。

研究員針對Google、HTC、Samsung、 LG和 Sony公司,研究其2代內旗艦手機的預載app數
量和漏洞問題。

這10款設備分別為Google的 Nexus S 和 Nexus 4、宏達電的Wildfire S 和 One X、三星
的Galaxy S2 和 S3、Sony的Xpreia Arc S 和 Xperia SL,以及LG的 Optimus P350 和 P8
880。

總體來說,這些設備總共有1548個預載app,但有些透過Android開放碼計畫(AOSP)已經包
含在Android內,這些預載app約有82%是手機廠在特製手機時加入。

從資安角度來看,最大的問題就是這些app作法糟糕:研究員指出,全體預載app中,有86%
的app要求的Android權限超過真正需求,也就 是所謂的「過度特權」,所以手機廠在這一
點都表現不佳,就連Google的Nexus S也一樣,在「過度特權」領域排名第2高。


此份脆弱app的分析報告,對於表現最好和最壞的手機給了混合的結果。研究員同時分析了
每款設備的脆弱app數量和所佔比例。

根據報告,在脆弱app所佔比例的項目中,在2012年前問世的手機,宏達電Wildfire S表現
最差,2012年後問世的設備中,LG的 Optimus P8880表現最糟糕。然而,Sony的Experia A
rc S 和宏達電的One X比例最低,而Google的 Nexus 4表現尤其好。


但若以脆弱app數量來看,又是另一回事。研究員指稱:「宏達電Wildfire S仍然在2012年
前的設備中是安全度最低的手機,但三星Galaxy S2也只是少了1個脆弱app而已。」

「在2012年前的設備中,Sony Xperia Arc S 和 Google Nexus S 並駕齊驅,是資安最好
的設備。然而,2012年後發布的設備,資安排名卻又大洗牌。三星 Galaxy S3 有40個脆弱
app,而LG Optimus P880有 26個,宏達電One X 降至中間排名(15個),但仍遜於Nexus 4
 (3個) 和Sony Xperia SL (8個)。」


事實上,Google若接到Android新資安漏洞的回報,反應相當快速,此點也備受讚揚但問題
在於通訊商和硬體廠只會對一些設備推出修正檔。

研究員發現,手機廠平均大概耗費半年的時間,才會推出這些設備的官方更新。

他們還指出三星S3更新時出現的地區差別待遇,因為2012年9月就提供Android 4.1.1讓英
國使用者更新,但美國使用者須等到2013年1月才能更新。(Android 4.1.1是2012年7月推
出)



--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 42.75.158.163
※ 編輯: isoxxxxx        來自: 42.75.158.163        (11/08 12:54)
saber102    :ARC S用戶飄過~~                          好頓呀@@1F 11/08 13:03
wolfganghsu :好,轉台,讓我們繼續關心Apple太潮爆炸的問題2F 11/08 13:04
boogieman   :手機會不會變慢跟昇不昇級有什麼關係?這邊重點在各家3F 11/08 13:04
Juxayle     :那麼討厭android卻又那麼關注android~呵呵4F 11/08 13:05
boogieman   :依照自已行銷要求強加一些APP還不給刪 甚至還自行成5F 11/08 13:05
boogieman   :立App市集卻又不把關 到後來讓一些亂要權限的App取得
kyle0478    :野火s又有新戰績能說嘴了 不愧是四大天王XD7F 11/08 13:07
boogieman   :做手腳的機會 這才是Google 要想辦法約束的事8F 11/08 13:08
※ 編輯: isoxxxxx        來自: 42.75.158.163        (11/08 13:10)
b1ueway     :這ID的文就兩種 捧APPLE 跟 貶安卓(尤其三星) 沒了9F 11/08 13:11
b1ueway     :大概三星老董欠他幾百億吧
aftermathx  :ASUS搭中華電信的機子超扯的 預載app超過5頁11F 11/08 13:14
boogieman   :還偷改我質疑他論點的那一段 嘖嘖12F 11/08 13:14
mullin1453  :黑三星很好啊!三星寫手那麼厲害,不怕被黑啦13F 11/08 13:19
mullin1453  :新聞媒體也都幫三星一下就洗白了
kiioo       :iso哥好關注資安喔 相較下 蘋果除了被大規模盜取帳密15F 11/08 13:30
OscarShih   :好可怕, 地球人口幾億台安卓手機...完蛋了16F 11/08 13:30
kiioo       :及使用大陸軟體itools外 安全性比安卓好太多惹17F 11/08 13:30
OscarShih   :約翰康那不知道什麼時候才會來救我們18F 11/08 13:30
eterbless   :不只預載APP play上面的一堆app也都過度特權吧19F 11/08 13:31
kiioo       :希望iso哥也能持續關注蘋果及安卓的資安議題20F 11/08 13:31
gottsuan    :原PO說得也是事實 很討厭廠商預載和google預載 又不21F 11/08 13:40
gottsuan    :能移除除非root 還有真的也太多app要求不必要的權限
gottsuan    :了 也才會一堆漏洞
slent67     :我覺得至少要改成跟ios一樣 可以選擇給予的權限24F 11/08 13:44
flypower    :小米的授權/自啟管理沒root可以管理授權app的權限25F 11/08 13:46
flypower    :這一點小米的創意不錯
dreamcwli   :Android 4.3 後其實有個隱藏的設定可以改權限27F 11/08 13:48
sanro0509   :就是給三爽代工 才一堆抄蘋果的呀 頗ㄏ28F 11/08 14:03
sanro0509   :推錯
sanro0509   :sorry
ww5555      :講了一大堆,何時要正視apple id被盜的問題,也不見a31F 11/08 14:09
ww5555      :pple對盜用事件發表聲明,apple id被盜等於app store
ww5555      :、email、行事曆、通訊錄通通被盜,應該比什麼軟體
ww5555      :漏洞來得令人擔心吧
oherman     :android至少還會告訴你要了什麼權限,ios都偷偷要…35F 11/08 14:10
oherman     :IOS讀你的聯絡簿、通話資料也不會告訴你
slent67     :樓上你沒用過ios吧37F 11/08 14:11
slent67     : http://miupix.cc/pm-TAWZ7F
[圖]
 
slent67     : http://miupix.cc/pm-XOSVOO39F 11/08 14:12
[圖]
 
Simman      :推文外行說內行話,看了心情真舒服40F 11/08 14:12
banbanzon   :盜阿婆id最爽惹 用阿婆的人普遍資安意識較低 一盜就41F 11/08 14:13
banbanzon   :戰果豐碩滿載而歸^.<
slent67     :@oherman 你這樣不算造謠嗎?43F 11/08 14:14
OscarShih   :說的也是, 目前apple id被盜的事, 讓人開始懷疑iOS44F 11/08 14:14
OscarShih   :的安全性, 甚至是整個apple id運作的問題
cash35      :這次被盜的人數很多 但看周遭朋友幾乎都沒中標46F 11/08 14:17
cash35      :改不會是某些ID存放的伺服器被駭吧....
cash35      :話說帳戶這種東西會分不同的伺服器存放嗎??
cash35      :我前幾天試著偷偷改我妹的Apple ID成功 因為我有她的
cash35      :gmail帳密 然後這組帳密跟Apple ID是同一組
RedmanYO    :apple id 就i don't care 阿51F 11/08 14:19
Juxayle     :這樣就叫造謠,那不就一天到晚都有人造謠.....~52F 11/08 14:19
cash35      :試過才發現改ID超簡單的 Apple唯一的認證程序是53F 11/08 14:20
cash35      :發一封信到原本的ID mail告訴你說你的ID被改了
cash35      :然後再發一封信到你新登記的mail(如163.com信箱)
hu393       :我看蘋果不用打廣告了 靠原PO就綽綽有餘56F 11/08 14:21
cash35      :要求你針對這個新的帳號做認證 我妹的ID就被我改了XD57F 11/08 14:21
cash35      :不過雖然我妹的id被我註冊過 但信用卡號碼還是取不到
Simman      :樓上的例子建立在已經知道建立apple id的email跟pw59F 11/08 14:22
cash35      :因為進到帳戶裡頭只能看到卡號末四碼 安全碼也看不到60F 11/08 14:22
cash35      :只能幫她買歌 不能拿去購物網站偷刷新手機XD
Simman      :如果是自己的email跟pw外流,那責任歸屬就要有待商榷62F 11/08 14:24
DongRaeGu   :arc s再戰十年63F 11/08 14:24
cash35      :是這樣沒錯 不過只知道帳號和密碼就可以幫人改掉這點64F 11/08 14:25
cash35      :認證程序實在做的太簡單了 像臉書跟google帳戶那樣
Simman      :可以用被盜的id到自己開發的app瘋狂購買商城裝備66F 11/08 14:26
cash35      :可以用手機簡訊做兩階段認證的話 我還要取得我妹手機67F 11/08 14:26
cash35      :本體收認證簡訊 這樣難度就高非常多
Simman      :fb的話也要願意輸入自己的號碼進去,我就跳過那步驟69F 11/08 14:27
cash35      :如果是被盜來買自己沒買過的app或dlc 基本上透過客服70F 11/08 14:27
Simman      :人越老越不喜歡把自己資料留給別人71F 11/08 14:28
cash35      :都會把錢退給你 因為iOS的app金流管控通通抓在apple72F 11/08 14:28
cash35      :手上 也只能刷Apple管控底下的東西 我個人覺得用這招
Simman      :是阿,不過購買資訊一般都寄信到註冊apple id的email74F 11/08 14:29
cash35      :洗app下載數、洗排名、洗評價還不錯 要A錢有困難就是75F 11/08 14:29
Simman      :喪失當初註冊的email的話也看不到買了什麼76F 11/08 14:30
cash35      :是啊 不過收到銀行帳單就知道有沒有被盜刷吧....77F 11/08 14:30
Simman      :運氣好兩天後看到,運氣差就一個月了...XD78F 11/08 14:30
Simman      :超過一個月基本上apple還是給退,所以就比較沒差
cash35      :總之Apple ID修改帳號的認證流程真的很弱80F 11/08 14:32
cash35      :另外就是為什麼很多人並沒被駭這點也是很怪就是
cash35      :若真是伺服器端的災情來說 不應該只有這樣而已
jumbotest   :我裝xposed後都會手動把app的權限取消83F 11/08 14:47
SicInfit    :的確一天到晚有人造謠啊XD84F 11/08 14:51
eterbless   :可能是這些人用facebook帳戶登入到某個網站然後這筆85F 11/08 14:51
eterbless   :資料剛好跟appleid一樣 然後就被盜了?
OscarShih   :麻煩的是apple的cloud,apple id的安全性是不可知的87F 11/08 14:52
OscarShih   :只有這塊是不透明的, 你只知道你的資訊和資源上去了
OscarShih   :但不知道上面有什麼, 傳了什麼,
Wcw5504     :所以重點是要保證自己用來註冊的信箱安全無虞吧...90F 11/08 14:56
Wcw5504     :沒被盜跟信箱用了二步驟驗證恐怕也有關係
OscarShih   :apple id會留下資訊在信箱裡面嗎92F 11/08 14:57
birdman4368 :忘了把wildfire上色  失敗93F 11/08 15:02
Handfight   :S3有40個也是蠻厲害的,領先群雄啊94F 11/08 15:05
Handfight   :不愧是暢銷手機
silence5105 :這之前好像有相關資安問題文章 s3跟note2 xda還幫寫96F 11/08 15:23
ducamao     :其實sony是內建功能大少(誤97F 11/08 15:38
ww5555      :其實文內說的不完全正確,因為現在安卓會詢問是否讓g98F 11/08 15:48
ww5555      :oogle檢查第三方app,並不是完全被動等待手機供應商
ww5555      :更新,當然,檢查的強度如何就不得而知
isoxxxxx    :@oherman 從頭到尾都說錯 android會告訴你要什麼權限101F 11/08 15:50
isoxxxxx    :但是你只能全給或全不給 iOS可以根據個別權限給
isoxxxxx    :你要黑蘋果也不做功課 講一些沒有根據的話誤導人家
isoxxxxx    :還蘋果都不給你知道勒 黑蘋果都給你講就好了啊
OscarShih   :4.3的permission manager可以控制app內的各種權限105F 11/08 15:56
OscarShih   :並不是全給或全不給
isoxxxxx    :可是全部的android手機只有2.3%升得上4.3 這跟沒有107F 11/08 15:58
isoxxxxx    :權限管理是一樣的吧XDD 還有97.7%手機不能控制
OscarShih   :至少你不能說安卓沒做到, 升級是遲早的事109F 11/08 15:59
isoxxxxx    :有遲早的事嗎....你看看有多少手機升不了4.3的...110F 11/08 16:01
OscarShih   :版本更新有新功能本來就是一件進行式111F 11/08 16:02
OscarShih   :只是安卓把這個功能放在現在做而已
OscarShih   :就好像安卓粉也很常笑iOS沒有快速控制, 7.0做到了
OscarShih   :但在7.0之前這種功能不也是一種未來式嗎
OscarShih   :說真的你拿這個來鞭安卓安全性有問題我不反對
pennymarkfox:每天看戰文就飽啦 誰還管你手機有問題(哈欠)116F 11/08 16:04
OscarShih   :但至少google在重視了, 不能說因為目前機種少=沒意義117F 11/08 16:05
OscarShih   :你看看安卓手機幾億台,iOS也幾億台, 這哪會是問題..
ErnestKou   :他就跟七哥一樣,沒啥好討論的,中心思想就是119F 11/08 16:07
ErnestKou   :iDevice 神一般存在,其他都是廢物
isoxxxxx    :一堆人都只看得到人家戰安卓 戰蘋果戰很兇的都不管呢121F 11/08 16:12
cowranch    :尼信教嗎122F 11/08 16:13
isoxxxxx    :還是蘋果就活該在這個板被講壞話 然後安卓就講不得123F 11/08 16:13
ErnestKou   :我不會覺得講不得,但是你太OVER就這樣124F 11/08 16:14
OscarShih   :就事論事吧, 又不是歐巴桑老是去翻仇恨薄扯到祖宗125F 11/08 16:14
OscarShih   :你不覺得為什麼你會被那麼多人圍, 67哥還沒什麼事
Masini1491  :請大家支持Gggole Nexus手機,這隻手機不會有這問題喔127F 11/08 16:19
ErnestKou   :iOS 東西就是那麼貴,窮人買不起128F 11/08 16:20
ErnestKou   :現在3~4K都能買到勘用的手機跟平板了
kblover     :iso跟七哥就同一個人吧我看130F 11/08 16:21
ErnestKou   :這就像你跟大家說國產車安全性有多差有用嗎?131F 11/08 16:21
cowranch    :安卓要安全可以靠使用者習慣,總比ios集中用戶個資,132F 11/08 16:29
cowranch    :放在伺服器任人玩好
KOBER81     :我卓是正義之師 豈是你能拿來說嘴的?134F 11/08 16:35
iPhonePro   :用戶註冊Google play的資料也是在伺服器135F 11/08 16:39
sh028044    :愛鎖哥好激動(///▽///)136F 11/08 16:41
asd2260123  :apple id 表示    說是這樣說雖然沒被盜但我還是改密137F 11/08 16:42
asd2260123  :碼惹
Joey452     :Android幹麻把手機搞得這麼復雜?139F 11/08 16:44
asd2260123  :你說複雜 我卻當作自由140F 11/08 16:48
jeano       :apple被盜成這樣還來笑android XDDD141F 11/08 16:49
Joey452     :自由自在的取用個人資料?142F 11/08 16:55
Simman      :推文很多亂講,真是歡樂143F 11/08 17:05
Joey452     :很可悲,手機被當作散播工具卻混然不知144F 11/08 17:08
BIGETC      :政治也不該搞複雜 給人統治就好 自由是混亂根源145F 11/08 17:15
BIGETC      :喔說錯 是給神統治!!!
cash35      :活在叢林最自由,不用管法律能活就好XD147F 11/08 17:36
rary369     :完全自由的代價就是你如果沒有足夠的能耐,你連生存148F 11/08 21:48
rary369     :的保證都沒有
isoxxxxx    :對呀 像是最近收到簡訊就會小額付款也是 好安全捏150F 11/08 22:09
ErnestKou   :講個資的話都不要上網註冊最安全,FB也是蒐集一堆151F 11/08 22:10
isoxxxxx    :對呀 google還會把你G+人頭拿去打廣告呢 這麼賣個資152F 11/08 22:20
isoxxxxx    :可真是前所未見 雖然還是很多人樂著賣
xiouming    :iphone被盜都是自己使用大陸app154F 11/08 22:22
weltschmerz :有看過android使用者被盜? 呵呵 看看隔壁版的板標155F 11/08 22:29
weltschmerz :iOS資安最佳了
isoxxxxx    :android都被強制支付付費簡訊而已 這樣還算安全啦157F 11/08 22:34
miku5566    :半斤八兩158F 11/08 22:45
ErnestKou   :FB不也是拿人去廣告159F 11/08 22:47
weltschmerz :你不點又不會中 拿來跟iOS比 根本懶覺比雞腿阿 呵呵160F 11/08 22:49
ErnestKou   :而且點了也不一定會重,還要裝APK耶161F 11/08 22:50
iPhonePro   :安卓個資被盜=>使用者問題,iOS被盜=>爛公司爛資安162F 11/08 23:36
iPhonePro   :在這類的人眼中講再多都多餘
WMX         :3C產品也是信仰比功能重要的XD164F 11/08 23:37
iPhonePro   :千做萬做蘋果就是邪惡,千錯萬錯google就是正義無私165F 11/08 23:38
iPhonePro   :大神。
WMX         :你相信iOS是神,他即使爆炸死了也會復活167F 11/08 23:38
weltschmerz :呵呵 跳針王 iOS上架這麼嚴格怎麼可能是使用者習慣168F 11/08 23:40
weltschmerz :不好咧^^ 當然是不明原因阿
iPhonePro   :iOS有著不少缺點,但是推文中有許多謠言,講的信誓170F 11/08 23:40
WMX         :現在連作業系統公司招牌都要當作是宗教在宣傳171F 11/08 23:41
weltschmerz :只有安卓用戶才會有使用者習慣不佳問題唷172F 11/08 23:41
siro0207    :出了一件還沒調查出真相的爆炸 就可以拿來戰信仰了173F 11/08 23:41
iPhonePro   :旦旦,對於這類事情講再多都是無益也無助。174F 11/08 23:41
weltschmerz :推WMX 他們沒有當宗教在宣傳 只是自然會有種信仰175F 11/08 23:42
iPhonePro   :welt幹嘛自打嘴巴XDD176F 11/08 23:42
weltschmerz :三星爆炸 沒真相>三星的錯 有真相>還是三星錯177F 11/08 23:43
weltschmerz :阿不就雙重標準
weltschmerz :給iPhonePro 沒有自打嘴巴阿^^還是你想要動資?
siro0207    :我可沒主動去管三星爆不爆炸 請別把這雙重標準用在我180F 11/08 23:44
siro0207    :身上
iPhonePro   :動資動資?我對那類沒興趣,謝謝喔。182F 11/08 23:44
iPhonePro   :說是跳針王不是說假的啊
WMX         :微軟失敗的地方就是從頭到尾都被認為是邪惡帝國184F 11/08 23:45
iPhonePro   :口裡說邪惡手裡點著win7185F 11/08 23:46
WMX         :不像Apple 和Google 都有信徒阿186F 11/08 23:46
weltschmerz :所以siro 18366篇不是你推的喔?187F 11/08 23:47
iPhonePro   :所以微軟使用者口嫌體正直(誤)188F 11/08 23:47
weltschmerz :不過我承認我找18366只是雞蛋挑骨頭XDD 不要介意189F 11/08 23:48
weltschmerz :微軟綁政府(抖) 這個無解
siro0207    :我那是被動反擊191F 11/08 23:49
weltschmerz :恩恩 我了解 很抱歉 不要介意192F 11/08 23:50

--
※ 看板: sayumiQ 文章推薦值: 0 目前人氣: 0 累積人氣: 241 
作者 isoxxxxx 的最新發文:
  • +54 [新聞] Google給壓力 Samsung Magazine UX將被放棄 - MobileComm 板
    作者: 42.79.241.193 (台灣) 2014-02-06 18:51:05
    三星這小獼猴終究還是逃不出google的手掌心 想要做點自己的事馬上就被壓得死死的 但是出了google自己發展的軟體事業又搞不起來 三星當年冒險犯難的精神也不復見了 變得連改個UI都要請示上層才能做 …
    116F 54推
  • +22 [新聞] 三星認栽 侵權官司以 195.6 億與愛立信 Ericsson 和解 - MobileComm 板
    作者: 42.71.185.190 (台灣) 2014-02-06 13:11:03
    在瑞典賠個6.5億元就給得這麼爽快 在美國欠蘋果9億美金就給得不情不願的 好像跟三星要授權費是要了他麼命一樣 學人家東西本來就要付點學費三星這點道理不是還懂著的嗎 反正廣告打大一點再從消費者身上要回來 …
    49F 22推
  • +27 a - MobileComm 板
    作者: 42.71.185.190 (台灣) 2014-02-06 13:10:07
    看板 MobileComm作者 isoxxxxx (LP玫瑰)標題 a時間 Thu Feb  6 13:10:07 2014 這讓我想起三星的NBA事件 雖然三星大手筆了跟NBA球隊簽訂了合約 不過到 …
    56F 27推
  • +32 傳拿下Google平板訂單 宏達電盼漸入佳境 - MobileComm 板
    作者: 111.81.89.145 (台灣) 2014-02-05 17:29:45
    原來nokia在美國也告了htc一把 看來htc在歐美的發展也僅止於此了 當年google會找上htc是看他勢頭不錯 但是現在可以取代htc的廠商多的是 像是SONY跟LG都還沒輪到了 怎麼還有htc …
    86F 34推 2噓
  • +19 宏達電發明專利 陷苦戰 - MobileComm 板
    作者: 111.81.89.145 (台灣) 2014-02-05 17:27:31
    事實上就是htc自己不注重研發啊 下面這篇新聞可以讓你看一下htc最近這年連在台灣申請專利的數量都比別人少了 出了國外還能夠做得比在台灣好嗎? 當人家專注在通訊 面板 半導體 拍照技術的改進並申請了海 …
    91F 19推
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇