今天看到《鳄鱼爱洗澡成病毒载体 致300万用户中毒》这篇报道中说到:
此次入侵《鳄鱼爱洗澡》的病毒为“反动联盟2病毒(a.fraud.eyu)”。不同于以往的恶意广告,“反动联盟2病毒”将恶意代码植入十余个版本的《鳄鱼爱洗澡》游戏中。一旦激活则会攻击指定的手机安全软件,还会在通知栏弹广告,私自下载应用,耗费用户流量。WiFi情况下还好说,若是GPRS或3G状态下,则很容易导致用户手机欠费停机。目前,据保守估计,此次受“反动联盟2病毒”感染的Android用户数接近300万。
一时间,大家开始批判Android的安全性,比如:
@陈昊芝:小鳄鱼爱洗澡Android没有官方发行版本,所以第三方渠道都是盗包,加一些不该加的东西。愤怒的小鸟也样,多数渠道能搜索到30几个版本,都是盗包发布。最终用户无法分辨,越来越像PC市场了,比的是谁更没底线
@陈昊芝:小鳄鱼爱洗澡Android没有官方发行版本,所以第三方渠道都是盗包,加一些不该加的东西。愤怒的小鸟也样,多数渠道能搜索到30几个版本,都是盗包发布。最终用户无法分辨,越来越像PC市场了,比的是谁更没底线
@费西FISH:android第三方市场盗包太严重了,损害的是整个android产业链。
还有更多的讨论,大家可以移步这里:
http://weibo.com/1644687644/yqSlFdhSH?type=repost#1341382455878
抛开所有的质疑和偏见,这个事情我们可以从技术层面探讨下,和 @我是码农 @橙子Infinity @李宁_Lining 等android技术牛们讨论了下,大家的结论是:
android的apk文件基本可以修改,一般的步骤是:反编译,修改(xml,组件,源代码),重新编译,重新签名, 发布,按照操作的复杂度,依次如下:
http://weibo.com/1644687644/yqSlFdhSH?type=repost#1341382455878
抛开所有的质疑和偏见,这个事情我们可以从技术层面探讨下,和 @我是码农 @橙子Infinity @李宁_Lining 等android技术牛们讨论了下,大家的结论是:
android的apk文件基本可以修改,一般的步骤是:反编译,修改(xml,组件,源代码),重新编译,重新签名, 发布,按照操作的复杂度,依次如下:
- 解包(只是zip包),使用里面的资源文件,比如图片等;
- 最简单的是直接修改xml,比如替换原有广告代码的ad_key来替换掉别人的广告;
- 可以加入自己写的组件,比如service等,用这个方法来移入广告平台,比如:使用某个软件几次后,就强出点击广告获得积分才能继续的界面。
- 如果smali功力不错,连java都可以修改。
很多人也问,如何防范,如何杜绝?
按照俺们技术的思路给出的答案是:基本无解!但是可以使用代码混淆提高下被反编译的难度。
目前为止唯一可以依靠的就是:底线!!
除此之外,到底android在哪些地方存在不安全,这些不安全会被怎么怎么利用?又该如何防范?
大家可以深入探讨下。
除此之外,到底android在哪些地方存在不安全,这些不安全会被怎么怎么利用?大家可以探讨下。
按照俺们技术的思路给出的答案是:基本无解!但是可以使用代码混淆提高下被反编译的难度。
目前为止唯一可以依靠的就是:底线!!
除此之外,到底android在哪些地方存在不安全,这些不安全会被怎么怎么利用?又该如何防范?
大家可以深入探讨下。
除此之外,到底android在哪些地方存在不安全,这些不安全会被怎么怎么利用?大家可以探讨下。
声明:eoe文章著作权属于作者,受法律保护,转载时请务必以超链接形式附带如下信息
原文作者: iceskysl
没有评论:
发表评论