作为操作系统用户,我不了解安全性,尽管我知道密码学和证书的基本概念。现在我尽量不要从不太知名的公司下载应用程序,也不要不必要地访问应用程序。在寻找通俗易懂的描述时,对于开发者来说,通常有一些表面的提示或深入的描述,很难在短时间内理解。所以我想问那些已经精通这个的人:
您如何将应用程序与数据分开?某些应用程序可能会请求访问文件系统的权限,但并不总是容易理解究竟允许什么。我可以将其他应用程序无法访问的重要信息存储在手机上的什么位置?在 Windows 上,在紧要关头,我可以在虚拟机上运行应用程序,而不必担心数据。在 Android 上,我不记得这种可能性。剪贴板呢,默认情况下它是否可供应用程序使用?我可以无所畏惧地复制密码吗?如果我不使用文件系统获取重要信息,而是在手机上使用 Google 驱动器,那么我是否无需担心设备上的其他应用程序?
默认情况下,应用程序可以访问其服务器,并且通常在没有它的情况下无法工作。例如,他们经常要求照片和视频的许可......所以他们可以毫无问题地将我的个人数据发送到服务器?联系方式也一样吗?
碰巧短信来自银行,代码自动插入银行应用程序。银行应用程序如何连接到此 SMS?另一个应用程序可以通过替换它来窃取数据吗?碰巧应用程序要求访问联系人和短信,所以他们可以访问这些代码?
根权限会出现什么问题?
很多中国新公司都在做安卓改造,为了安全而放纯安卓值得吗?这种修改通常是危险的吗?
还有什么可能对 Android 的安全性很重要?
本质上不是。每个应用程序都在自己的沙箱中运行。每个应用程序都有自己的数据存储。但该应用程序也可以使用存储在您设备上的“一般数据”。但要访问它们,应用程序必须向用户请求显式访问。如果您授予他此访问权限,那么您将不知道它对他们做了什么。除了应用程序开发人员之外,没有人知道此代码,您可以信任开发人员。
尽你所能——如果你不信任该应用程序——不要给予许可。或者,在每次使用某个功能(例如,上传照片)后,禁用读/写权限。在 Android 11 中,还会有 One Time Permission,其本质是只给应用一次权限。例如,如果您有一个订购寿司的应用程序,并且您只想为您的个人资料上传您的个人资料图片,那么您绝对不需要持续授予应用程序对文件的访问权限。
应用程序内部沙箱中的所有数据都是其数据,任何应用程序都可以不受阻碍地访问它。这意味着只要应用程序没有从内存中卸载,它就可以安全地将它们发送到任何地方。再说一次,这只是对开发人员的信任问题。
如果您授予应用程序读取 SMS 的权限,则它可以读取它们并使用这些数据执行所需的操作。其他应用程序将无法自由执行此操作。
如果您对您的手机进行 root,那么您将授予所有应用程序访问您的个人文件的权限。那些。“沙盒”原则将不再有效。这并不意味着您会立即在手机上发现一些废话,但这确实意味着如果有人想从银行应用程序中获取您的个人数据,那么他们可以从外部轻松完成。
只是信任问题。无法保证 Google 不会收集您的个人数据(事实上,确实会收集,但很可能用于一般统计数据)。
您应该始终注意应用程序请求的权限。有条件地,如果 Flashlight 应用程序请求访问麦克风,则值得考虑。您不应该将真正机密的数据存储在有根手机上。如果您不信任开发人员,那么最好不要安装他的应用程序。
事实上,您对此无能为力。因为有条件地,即使 Google 不存储你的卡号和密码,Java/Kotlin 开发人员也可以在编译器级别做到这一点。如果不是他们,那么 C++ 编译器开发人员可以做到。检查这是 100% 不现实的。所以这里的一切都建立在信任之上。
/data/data/[пакет приложения]
或通过 API 调用从 proger 的角度访问Context.getFilesDir()
,但有两个警告:android:sharedUserId
了解应用程序将数据放在哪里确实不容易,我建议通过VirusTotal扫描 APK ,它很好地布置了 Android 应用程序,包括可用性
sharedUserId
和详细权限。现在最安全的是旧版本的Android 10 - 我建议你注意它。低于 6.0 的版本似乎是最不安全的。几乎每个人都可以使用剪贴板,我不建议使用它。
可以轻松发送。注意访问文件系统和读取联系人的权限。
几乎每个人都可以使用 SMS - 阅读,这是肯定的。从技术上讲,拦截短信很容易,但要替换它已经很困难了。当 SMS 到达时,Android 会发出所谓的。
Broadcast
- 任何有权读取 SMS 的应用程序都可以接收和读取的广播通知。应用程序收到消息后可以阅读Broadcast
,但很难替换。如果用户具有将应用程序用作默认 SMS 处理程序的明确权限,则可以将其替换 - 通过在屏幕上抛出如下消息:Root 允许您无限制地访问受保护的内存部分(请参阅第 1 段),也就是说,您可以移除 Axis 提供的保护。这就是为什么在 root 手机中,许多银行应用程序不再工作的原因。
最主要的是设备本身是通过谷歌认证的。认证制造商列表在这里
最安全的领域是加密安全存储(硬件最好),例如三星的 Knox。
PS Snowden & Co 描述的各种不同的奇异方法没有被特别考虑,很明显需要它们的人总能找到方法——其中最简单的是直肠热密码分析仪
你好!好吧,这里有问题......我警告你!我不是android超级专家,我会犯错误,但我希望回答正确,如果有任何错误请纠正我,以避免虚假数据的传播。
为了方便查看,我将第一个问题分成几个部分。
1.0。我建议安装任何免费的Android固件,如Replicant、LunaOS、Plasma Mob等,这样固件中内置的专有应用程序就无法跟随你,并且所有专有用户应用程序、免费应用程序也被替换或完全删除你可以找到F-Droid在应用商店中(所有应用都是免费的),对于数据保护,我推荐Secure File Manager Beta - 有一个使用 AES256 的文件加密功能 + 所有对您来说重要的文件都可以转到“隐藏”目录,但实际上它位于以下路径:/hidden_path,但通常(90%+)应用程序无权查看,更不用说编辑位于那里的数据了。
1.1。我不能说剪贴板,我不是这里的专家,但我知道 100% 专有固件中的内置应用程序(如 Google、Yandex 等)会不断监控剪贴板和进入其中的任何信息是立即发送到坏人的服务器。
1.2. 然后你需要敲响所有的钟声,特别是像谷歌这样的公司(几乎所有云存储 Yandex.Disk、Apple iCloud、Mega 等都包括在内)监控你的所有数据,将其存储在那里绝对是危险的。
此外,他们确实如此,专有应用商店(如 Google Play、Apple App Store、Samsung Galaxy Store、Huawei/Honor App Gallery 等)中 99% 的所有应用都有比其内置解析器更先进的跟踪器它不断收集用户信息并发送此数据。
这里你需要担心数据,但不是因为应用程序,应用程序只与用户自己主要交互的应用程序管理器(Application Manager)进行交互,但提供者已经使用 SIM 卡和 PROVIDER 想要什么,然后会,但是为了保护运营商,许多攻击者也可以访问设备并且几乎可以完全远程访问受害者的手机,如果受害者当然有 SIM 卡,并且为了保护攻击者,运营商(和超过他们的坏人)使用这个,是的,关于应用程序,如果他们被授予访问权限,他们可以查看短信和联系人。
理论上应该没有问题,因为。root 权限只赋予你超级用户权限,但获得这些 root 权限的过程实际上可以让你的手机变成一个不必要的砖头,例如声音可能会掉线甚至网络更糟。
我不建议做第一个或第二个。而纯安卓在看着你,被中国程序员修改的也在看着你,只是它也有自己的追踪器。
首先,你需要在hosts文件中输入所有的恶意和跟踪站点,其次,你需要自己监控你的网络,看看是否有任何危险的连接,好的方法,你还需要使用区块链,以免被烧毁您的 IP 地址、DNSCrypt、代理 Socks5、Tor 网络和 I2P、DNS Over HTTPS 等。等等
总的来说,以我的拙见,这是对基于 Android / Linux 的系统上的安全性问题的一个相当丰富且相当简短(是的,我是认真的)的答案,当然遗漏了令人难以置信的重要细节,但是在互联网上写一篇完整的帖子会更容易(通常他们被分开以让用户在网站上寻找一个完整的答案以获得更多的广告收入,这就是我说整个帖子的原因)而不是答案某个论坛,我希望我的回答对某人有用。