Questions tagged «security»

有关安全性问题的更多一般性问题。对于具有自己标签的特定问题,请使用它们-例如“恶意软件”,“防病毒”,“隐私”,“遗失电话”。请参阅完整标签的Wiki了解更多。有关更深入的Android安全问题,您可能希望访问我们的姐妹网站,网址为http://security.stackexchange.com/questions/tagged/android

2
向用户提供apk文件是否“安全”?
我想知道,如果我在Play商店中有可用的应用程序,将apk文件直接下载给某人(用正确的密钥签名,或者只是调试版本)是否“安全”? 从市场的意义上讲,“安全” 是否对apk进行了特殊的保护,以保护源代码,签名密钥等? 我问是我的应用程序用户的原因曾说过他们的市场/ Play商店不再工作,因此无法升级该应用程序-因此请我通过电子邮件将apk文件发送给他们。 该应用程序是免费的,因此表面上我看不到任何问题-尽管只是想仔细检查一下。 尽管这提出了一个问题-您从手机上下载了从市场下载(收费和未付费)的应用程序的apk。这些apk(在电话上)是否是电话/ google帐户所特有的?否则,什么会阻止一个人购买应用程序并将该apk传递给其他人?

6
使用PIN码进行加密是否合理安全?
在Android 4.0(Samsung Galaxy Nexus)上,可以对手机进行加密。我发现这与Android 3.0上的加密有关,是否与Android 4中使用的算法相同?http://source.android.com/tech/encryption/android_crypto_implementation.html 我的主要问题是使用PIN码解密手机。 为什么我被迫使用相同的密码来解锁屏幕和解密手机? 该限制将只允许我使用低复杂度的密码(例如PIN码),因为要写一个简单的电话就很难输入17个字符来解锁手机。 可以防止针对屏幕解锁的暴力破解尝试,即每5次尝试重新启动一次。因此,那里不需要非常强的密码,PIN可能就足够了。 光盘上不能使用这种类型的保护,因此,这里更需要更强的密码。(密码的熵增加并没有多大帮助,因为很少有用户使用复杂的密码,因此攻击者可以简单地尝试大多数低复杂度的密码)。为两个功能强制使用相同密码的背后原因是什么?


6
如何找到丢失的电话或帮助人们退回电话?
我正在寻找“ 哪里是我的Droid”之类的应用来帮助查找丢失的设备。 理想情况下,我希望其中一个可能具有两个特定功能: 可以在屏幕上显示消息以帮助人们返回消息,就像Windows Phone 7一样,如下所示。 能够远程打开GPS以帮助电话的物理位置。我不想一直保持GPS开启以避免电池电量耗尽。 在无根的Galaxy S Captivate上运行。

3
基于根的防火墙(AFWall +)和基于非根的防火墙(NetGuard)之间有安全性区别吗?
基于根的防火墙(如AFWall +)和基于非根的防火墙(如NetGuard)之间的技术区别是什么? 对此类软件有效提供的安全性有影响吗? 我已经在NetGuard的源代码中进行了一些检查,以使自己成为一个主意,但是我认为这可能仍然是一个好问题,并且我希望获得其他人对此主题的分析。 我想将此类问题仅限于此类软件提供的核心技术功能(例如防火墙类型:无状态或有状态,是否存在任何硬编码异常,处理不受信任数据包的代码的健壮性等),而不是次要功能或它们可能具有的反功能(广告,跟踪,修饰等),除非它们具体影响软件的核心目标。 换句话说:请不要大叫;)! 如果存在限制,则值得一提的是它们是特定于实现的(开发团队做出选择的结果)还是所用技术的结果(依赖于非常不同的系统,有可能必须应对)有其他人没有的限制)。

7
安全选项变灰
我的手机(Samsung Galaxy S2)在ICS上运行。最近,我激活了Microsoft Exchnage ActiveSync以连接到我的公司电子邮件。它禁用了所有安全选项,例如“图案解锁”。我讨厌它,并从电话中删除了我的Microsoft Active Exchange帐户,但是这些选项仍然被禁用。如何启用它?


7
如果我今天购买了Android手机,并且希望尽可能长的安全更新,那么我应该如何选择手机?我愿意使用自定义ROM。
背景 不少软件开发人员为其产品提供特殊的“长期支持”(LTS)或“扩展支持版本”(ESR)版本。您只需安装该产品一次,即可获得长达十年的安全更新,而不必升级到该软件的下一个主要版本。 以下是一些示例:您可以安装一个版本的Firefox ESR,然后获得大约一年的版本安全更新。或者,您可以安装一个版本的Ubuntu LTS,然后获得该版本的安全更新五年。 不幸的是,谷歌没有提供特殊的Android长期支持版本。安全修补程序会向后移植到设备的Android版本,直到Google停止向后移植。这些修补的Android版本将内置到设备的新固件映像中,直到设备制造商或第三方ROM构建器停止生成新映像为止。 (例如,Android 6.0.1“ Marshmallow”似乎仍在获得安全修复。Android6.0.1的最新版本为android-6.0.1_r56至android-6.0.1_r63。这8个Android版本均在同一天:'16年8月1日,这八款产品中的每一款都设计为支持一组不同的Nexus设备。设备制造商可以选择八款产品中的任何一款,然后将其移植到其他Android设备上。看起来Android 5.1.1“ Lollipop”可能仍在获得安全修复。最新版本是android-5.1.1_r38,于16年7月19日发布;构建代码LMY49M也可能知道它。) 的iOS Apple倾向于在首次发布后的三到五年内支持iOS设备。(来源。)它们提供了新功能(这会降低设备的速度,从而鼓励您升级)和安全更新。但是我想要一个比Apple设备更开放和可扩展的设备。 我的问题 如果我今天购买的是Android手机,并且希望获得尽可能多的安全更新,我该如何选择? (每月的安全更新很好,但是今天我不是在问每月的安全更新。我的问题不是关于哪些Android手机获得的安全更新频率最高。而是关于哪些Android手机获得的更新次数最多购买后-即使我必须在更新之间等待六到十二个月。) 请不要推荐特定品牌和型号的手机,并保留原样。这样的答案对于今天的读者将是有用的,但对于几年后才看到此问题的读者而言,则无济于事。相反,请告诉我自己如何比较产品。选择最畅销的设备对我有多重要?我是否购买中端电话(无合约,价格为100-200美元)或高端电话(无合约,价格为600-800美元),这有关系吗?我是否必须从将驱动程序放入Linux内核的制造商中选择硬件,如果是,这些是哪些制造商?为了选择我应该使用什么其他标准? 请假设我愿意下载并安装自定义ROM以获取安全更新,但是我不愿意自己编译任何东西。 我知道您无法完美地预测未来。请尽力而为。

2
Android加密和漏洞的规范解释
注意:赏金已过期,一种可能的原因可能是我从评论中收集时需要做出努力来解决。看到投票数,其他人似乎也很感兴趣。我仍然想得到一个答案,所以这是我的建议-一个月之内得到一个好的答案,将获得50的奖金。我希望能给予足够的时间和激励 我已经尝试了解Android加密过程及其漏洞已有一段时间了 在本网站以及姊妹网站上,有很多问题涉及此主题的各个部分。为了说明我的意思,这些问题只针对部分内容,而不是全部内容(让人想起“ 瞎子和大象?” :) 棉花糖加密保护什么? 完整的设备加密是否可以保护我的数据免受Google和政府的攻击? /android/137334/if-we-encrypt-our-device-can-user-connecting-to-adb-get-it 有关SD卡加密的问题 开启电话时进行android加密 android-cyanogenmod-encryption-vs-gnu 手机sim卡中有可以与rsa一起使用的加密材料 android-device-encryption 我的理解(或误解?) 加密密码是由用户锁定屏幕PIN和加密算法结合生成的(由于PIN的长度有限,因此存在固有的弱点) 这已腌制,并存储在根目录中,用户无法访问 这用于生成用于加密/解密的实际密码,并且实际密码存储在RAM中 通过将步骤1链接到设备SoC来加强此功能(哪个Android版本?哪个是唯一标识设备的硬件元素?可以替换成假的吗?) 因此,如果没有加密密钥和设备(也适用于外部SD),就无法解密数据 可能的恢复方法- 蛮力,捕获RAM信息(步骤3)以获得密钥 根设备似乎更容易通过自定义恢复/可能的ROM和内核闪存访问步骤2的数据?(如果为真,为什么不吹嘘这是一个大风险?) 即使获得这些信息,我猜测,这是不平凡的努力,明智的做法是产生实际的密码 棉花糖可以将外部SD视为“内部存储”或“便携式存储”。从逻辑上讲,它不应该有所作为,但不确定 我的理解存在空白,可能在其他关键方面也有所遗漏。 因此,我正在寻找一种规范的解释,以便从用户的角度进行理解 整个加密过程(包括外部SD) 从KitKat到棉花糖(包括棉花糖中外部SD的双重选项),跨Android版本的实现方式有所不同 用户级别的漏洞 注意 我知道该问题可能被认为过于笼统,但国际海事组织(IMO)需要全面处理 拥有通信安全方面的经验,我了解将加密概念转换为用户级别所面临的挑战。我希望答案能解决此问题,并提供解释性的指针,以使您加深理解。该过程的示例无需严格意义上的密码正确性,而应传达其实质 可能的优势可能是“欺骗”有关方面的未来问题 以重复为代价,答案应主要在用户级别,但要有足够的解释以加深理解。将答案分为两部分可能是一种合适的方法。 我会指出不重要的/休闲/补丁工作答案,以鼓励全面的答案

3
您将如何卸载恶意的Home(Launcher)应用程序?
如果您要安装的主屏幕应用程序不允许您访问“系统设置”屏幕(进入“管理应用程序”),也不允许您启动应用程序(例如Market App或第三方安装/独占者),有什么方法可以卸载这样的应用程序吗? 我知道,在让新应用接管主屏幕特权之前,Android需要您的许可。但是请说您正在尝试使用新发布的有错误(或恶意)的Launcher应用程序。当然,您仍然会告诉Android可以将此应用赋予主屏幕特权。现在,一旦安装完毕,您的手机现在实际上就没用了吗? 有没有办法让典型的最终用户(没有Eclipse / ADB)摆脱这种情况?除了进行完整的出厂重置外? 我知道有几种方法可以通过ADB卸载应用程序(“ adb卸载package.name”) 但是,如果最终用户安装了这样的恶意/笨拙的应用程序,似乎他们可能会陷入困境。这似乎是Android中巨大的安全漏洞,不是吗?

1
植根后,如何保护手机免受恶意应用的侵害?
我扎好了手机。 现在,如果我使用诸如Android Terminal Emulator之类的Terminal Emulator,我会发现无需密码即可轻松获得root用户访问权限: $ id uid=10059(app_59) gid=10059(app_59) groups=1015(sdcard_rw),3003(inet) $ su # id uid=0(root) guid=0(root) groups=0(root) 在Unix服务器和桌面环境中,没有密码的超级用户帐户被认为是危险的,因为该超级用户帐户可以访问计算机上的所有资源。 在Android手机上是否同样危险?如果是这样,如何保护我的手机免受试图获得root权限的恶意应用程序的侵害?我可以管理哪些应用程序可以访问此手机上的超级用户帐户吗?

1
是否有支持默认内核功能的Google设备?
如果我无系统根目录(未对/system分区进行任何修改)Nexus设备,是否能够在不更改原始内核二进制文件的情况下在可执行文件上设置功能? 我经常想不受终端限制地管理文件(需要CAP_DAC_READ_SEARCH)。但是,我也不想使用超级用户。 必需的东西是用来设置内核支持上限以使用它们的工具(它不依赖于其他用户空间的东西)。 问题是,我没有这样的设备。因此,我无法确定它是否适用于任何一个Nexus 5X Nexus 6P Nexus 9 Pixel C。

2
授予具有设备管理权限的应用程序哪些权限?
Device Administrator应用程序是否具有任何/所有权限,例如联系人,存储空间等? 从developer.android.com设备管理员尚不清楚这些管理员权限是否还暗含应用程序权限。 还是设备管理员只是意味着它只能执行允许的策略中的操作,例如锁定屏幕,擦拭手机,防止(轻松)卸载应用程序等,并且访问私有信息的权限是通过管理仅权限设置?

1
如何从Android,Chrome导出SSL证书
我有配备最新Android 4.4.2的Nexus 5。 我已注册使用Chrome。他们使用客户端证书来认证用户。我安装了证书,可以在手机上成功使用该网站。 但是,现在我想在笔记本电脑上使用该网站,但是Chrome似乎无法同步这些证书。我没有在移动设备上的Chrome中找到有关证书的选项。 我也找不到任何东西Settings> Security>Trusted credentials 是否可以从Android导出此客户端证书,以便可以在笔记本电脑上的Chrome中导入它? 我想知道是否可以从我的android设备导出这些客户端证书,以便可以在笔记本电脑上导入和使用它?

3
如何覆盖设备管理员安全策略,以便可以禁用锁定屏幕?
在Android 2.2 Froyo上,我将我的Corporate Exchange电子邮件帐户添加到了手机中,但是,由“设备管理员”设置的安全策略要求我在锁定屏幕上输入4位PIN码,并且最多要空闲10秒钟。 如何通过root用户访问或其他方式入侵我的Android,从而无需遵循此安全策略。每次使用手机时都必须输入PIN码,这让我感到非常恼火,因为我一整天都经常打开/关闭它?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.