移动:安全(或不安全)输入
我不知道手机上的木马或恶意软件,但我想知道它有一些真实的攻击案例,目标是:获取键盘(或屏幕+键盘)用户输入。有一些方法可以保护设备免受这种麻烦吗?我已经读过,实现自定义键盘有助于保护您的应用。如何提高应用安全性?验证码是否足以与自定义键盘结合使用?有什么反馈吗?
2 个答案:
答案 0 :(得分:0)
操作系统通过在自己的沙盒中运行应用程序来保护用户。一次只能有一个应用程序访问/监控屏幕。现在,如果您正在谈论越狱设备,那么所有赌注都将被取消。
一般规则是,如果某人有物理访问设备,他们无论如何都拥有它。因此,如果您没有越狱设备,并且没有攻击者实际访问您的设备,假设没有重大漏洞,您就可以免受此类攻击。
答案 1 :(得分:0)
是一些真实的攻击案例,目标是:获取键盘(或屏幕+键盘)用户输入。
嗯,我不确定我在实践中看到过什么(或者现在没有想到)。 Android恶意软件通常只是要求太多权限,而用户(或运营商)会将这些权限提供给他们,因此不需要采用不道德的技巧。
更糟糕的是,Google recently removed App Ops,所以没有办法限制那些过度使用的应用程序的权利(除非你根设备并移动到像Cyanogenmod这样的mod)。
有这个概念证明:TapLogger: Inferring User Inputs On Smartphone Touchscreens Using On-board Motion Sensors。
还有内置的诊断软件是恶意软件作者的梦想。请参阅下面的QXD或Qualcomm可扩展诊断监视器。
安全元素人员依赖于Trusted User Interface,其中包括可信输入和可信屏幕。 Secure Elements是那些迷你程序(如Java小程序),有时可以在嵌入式智能卡等迷你压缩机上运行,也可以在NFC支付,谷歌钱包等电源上运行。
我已经读过,实现自定义键盘有助于保护您的应用。
我认为这里的想法是将每次运行的密钥随机化以避免可识别的模式(应该是冲浪者),避免污迹(推断关键点击)和点击记录技巧(如文中所述)。
验证码是否足以与自定义键盘结合使用?
我不确定CAPTCHA在这方面会有什么帮助。当威胁模型识别出间隙时,CAPTCHA通常用于减慢机器人之类的自动攻击。你有特定的用例吗?
有任何反馈吗?
Trusted Execution Environments和Trusted User Interface对商品硬件来说很难,因为几乎所有内容都是共享的,从CPU到屏幕再到总线。我认为这是需求推动它的一个案例,所以有些东西会被出售以利用市场。
另请参阅,例如ARM Trust Zones。
如何提高应用安全性?
- 请勿使用智能手机
- 在运营商之外购买Nexus,因为它将由Google更新
- 避免使用未更新的运营商Android设备
- 避免使用内置间谍软件的运营商设备,例如QXD(见下文)
- 删除不需要的软件,例如“需要操作系统”的赛车游戏
- 不要安装自己不写的应用
- 使用一个众所周知的mod(如Cyanogen)来解决Android的一些安全漏洞
QXD或Qualcomm可扩展诊断监视器从Sprint获得所有这些。请注意,它应该是诊断软件,但它会窃取我的个人信息,如机密信息,消息,联系人和日历。它还获得了付费服务的许可。它已预先安装,我无法禁用或删除它。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?