Android移动终端操作系统的安全盘点

    由于大多数用户并不是开发者，因此他们对这一机制并不了解，甚至不会去理会这一机制。特别是，许多恶意代码采用的是自动更新的方式下载安装到用户手机中。这种模式下，恶意代码开发者首先发布一款不含恶意代码的合法应用，然后再提示用户更断，在更新中则携带恶意代码，并要求更多的权限，由于用户已经使用并信任了之前的合法应用，因此，这一方式很容易就入侵了用户手机。

    3）操作系统漏洞造成的攻击

    在任何复杂的软件系统中，都必然有缺陷和安全漏洞，Android系统也一样。Android系统采用沙箱来隔离应用程序，使得恶意代码仅能运行在自己所在的沙箱中，以达到保护系统的目的。另一方面，通常移动设备不会给予用户系统的完全控制权，如果要获取Android系统的完全控制权就必须使用root权限。

    但是Android系统本身存在很多漏洞，很多恶意代码利用这些漏洞突破沙箱，获取系统root权限。例如，恶意代码DroidDream就是利用“Exploid”和“RageAgainstTheCage"来突破沙箱，获取root权限。而用户为了使用方便或者其他目的会主动root手机，这样也给恶意代码可乘之机。同时，root手机的唯一办法就是利用漏洞，因此为了获取root权限，某些正常应用研究者也会去挖掘系统漏洞，同时也不希望现有漏洞被修补。这就促进了恶惫代码的发展。一旦获取了root权限，不但可以做到应用程序的静默安装，还可以访问其他应用程序以及随意读写用户隐私数据，修改或侧除非其他应用程序的文件等等，对用户的Android手机造成安全隐患。

    4）应用软件漏洞带来的攻击

    软件漏洞是指应用程序本身设计实现时存在的问题，使得恶惫代码开发者能够利用这些漏洞攻击安装了这些应用的手机。Web浏览器是其中最为危险的漏洞软件。Android Web浏览器以及能够通过浏览器装载的软件（如Flash player, PDF阅读器、或者图片浏览器）包含了大量可供恶意网页攻击的漏洞代码，例如webkit（流行的渲染引攀）。同时Web浏览器又是Android必不可少的组成部分以及用户使用时间最长的应用，因此危害极大。而且浏览器漏洞也很难修复，因为移动浏览器和其相关的库一般是跟固件同版本的，升级很慢。

    此外，为了获得更好的、更加定制化的服务或者为了体验新的服务，据统计，还有大量的Android用户喜欢刷机。这使得市场上出现了各种各样的由个人提供的定制优化版本。这些发布在手机论坛的ROM役有任何的审核机制，并且对于恶意代码制作者而言，将恶意代码嵌人到定制ROM中能够使得恶意代码更加隐蔽、功能更加强大。根据腾讯安全实验室的数据，2012年第三季度，通过内嵌 ROM的方式感染恶意代码的Android用户大约占所有感染用户的10%。

    5、Android安全的未来发展需求

    综上所述，尽管Android系统提供了三大安全机例来为系统安全保驾护航，但是在巨大利益的驱动下，Android系统已经攀露出了巨大的安全威胁，严重的威胁着用户的使用安全，并且随着Android系统市场份额的增加，安全威胁也必将进一步增强。因此，在Android系统现有安全机制之外，急需新的安全机制来应对开放模式、权限许可机制、操作系统漏洞、应用软件漏洞等安全威胁。

（编辑：大连站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!