IT龙门阵第179期：技术专场之Android安全现状

11月28日消息，IT龙门阵技术专场之Android安全现状昨晚举行，豌豆荚创始团队成员丁吉昌和金山网络资深反病毒研究员陈章群在现场分享了Android最新的安全动态。

广告其实也是安全的一部分

今年，金山网络“手机毒霸”产品曾推出新功能，拦截App应用内所有广告，直接威胁开发者基本生存权。随即，多盟、触控科技等19家App开发商和广告代理商发布声明要求其更改手机毒霸软件。此事一时引发业界讨论。

对于手机广告，丁吉昌认为，Android手机用户都知道，除了传统定义上的安全，广告是一个很大的问题。而广告其实也是安全的一部分。当然这个也是开发者赖以生存的事情。

而对于豌豆荚而言，会对广告进行安全检测，然后进行分级处理，优先推荐无广告的应用。不会彻底屏蔽广告。

丁吉昌也举例称，减少广告是对用户负责。豌豆荚曾有一个叫“水果忍者中国天津争霸”和“水果忍者”两个应用。当时，两款应用在排行榜分别排第四和第六，不过由于嵌入了通知栏广告，两周后这两个应用在TOP10里就不见了，反而被另一个无广告的水果忍者的高清版所替代。

“用户也很烦这种通知栏广告，他们会自己挑那些没有东西的，就慢慢的把它顶上去。”丁吉昌最后总结道。

短信漏洞其实有三种

“Android短信漏洞大家可能只知道有一种，实际上在市面上比较多的就有三种情况。”金山网络资深反病毒研究员陈章群在IT龙门阵现场表示。

陈章群介绍称，第一种Android短信漏洞就是直接使用收件箱，只需要申请写权限和读权限就可以实现。多数做移动开发的人员基本都知道这个漏洞。

第二种是利用Android系统漏洞构造出来的一些短信。该漏洞需要去构造PDU(即，协议数据单元（ProtocolDataUnit），是指对等层次之间传递的数据单位。)，不过整个安装过程中是没有申请任何跟短信有关的权限，但是它能够实现发送假消息。此外，这个漏洞可以根据用户的联系人，和联系人给用户发过什么信息，做相应的构造。

而第三种漏洞与上一个很相似，唯一区别是前面漏洞需要自己去调系统服务，而这个漏洞不需要调系统服务，所有的操作都是正常的。(韦浦)