※ 引述《stockapp (平安就是福)》之銘言:
: Android的漏洞並沒有很多。即使有,也要很多組合條件,才有辦法拿來做攻擊。
: 主要是開放特性,讓開發者可直接存取特別權限,所以就可以做很多事。
: (像是上面講的發簡訊,不過4.2之後已經有做控管,還要使用者手頭確認才會發出去)
應該是4.4 Kitkat才有控管簡訊。
不過也是有例外,就是Google自己的程式。
在原生4.4.4系統下,我將預設簡訊app設定為"簡訊",
照理說,其他app應該無法收發簡訊,除非我暫時修改預設簡訊app。
但是,當我安裝Google的Hangouts,第一次啟動會問你要不要發簡訊驗證電話號碼,
你如果選是,Hangouts自動就會完成簡訊發送及接收,
完全不需要修改預設簡訊app。
: Google有重視到這些問題,在每個app安裝前,會要求使用者確認權限,
其實我覺得Google在App權限的確認上,並沒有朝重視安全性的方向努力,
反而是不斷簡化權限確認步驟。
自從Play Store 4.8.19更新以後,
應該很多人發現下載app的權限說明變得很模稜兩可,
以往細項的權限描述,被歸類到只剩下幾個大的群組。
甚至在app更新時,如果新權限與舊權限被歸類在同一個群組,
則不用使用者同意新權限,即會更新app,
這是一個很明顯的漏洞。
一個程式在更新多次之後,可以不需要使用者同意,就取得比以前更多的權限
詳細可閱讀此來自xda的文章:
[Play Store Permissions Change Opens Door to Rogue Apps]
http://goo.gl/GXHBms
或來自趨勢科技
[Google Play更新改變了權限模式,但不是變得更好]
http://blog.trendmicro.com.tw/?p=8618
進而,連在Xposed都出現了修正此權限問題的模組:
[Fix the New Google Play Store Permissions System Using Xposed]
http://goo.gl/7ugHQq
: 但使用者如眾多版友所提,就是直接下一步。
: Google Play上,Google也是持續有在掃描,若發現是惡意程式也很快下架。
: 主要就是不要輕易安裝非Google Play的,可以降低中獎機率很多。
我認為Google目前對app的控管,比較偏向是對開發者有利而非使用者,
事實上,因為一般使用者無法個別控制app的權限,
如果你不滿某app為何要某個權限時,你只能不爽不要用 (除非有root)
不然多數人為了要盡快使用某app的功能,可能也只好按下同意,
進而養成很多人輕易按[下一步]的習慣也是無可厚非...