安卓手机漏洞

Android系统又爆新漏洞 安管云安全中心推专杀工具

来源：安卓网   时间：2012-11-27 13:51

Android的设备管理器用来控制锁定屏幕的方式和时间，清除手机数据等;用户在使用激活设备管理器的软件时，必须通过取消激活设备管理器才能正常卸载该软件。

近期,来自安管云安全中心的木马分析师发现，恶意程序利用Android设备管理器的漏洞，在激活设备管理器后无法通过正常方式取消激活，进而去卸载。目前涉及的Android系统包括Gingerbread(2.3)、Froyo(2.2.1 )Ice Cream Sandwich(4.0)等版本，几乎所有Android版本均存在这一漏洞。

正常情况下，具有申请设备管理器权限的程序可以正常通过激活、取消激活来控制并卸载。(如下图)

据安管云安全中心木马分析师介绍，由于此Android系统漏洞的存在，恶意程序在诱导激活设备管理器后，导致使用没有Root手机的用户无法通过正常方式卸载。

目前，安管云安全中心已经将该漏洞提交给谷歌安全团队，截止发稿前尚未得到回复。对此，安管云安全中心在全球首家发布了“设备管理漏洞专杀工具”，建议用户及时下载安装，卸载掉激活设备管理器后无法正常取消激活并卸载的恶意程序，避免此漏洞带来的风险。后续还会发布相关的漏洞补丁，为大家提供最安全的手机环境。

多款安卓手机管理软件存WiFi漏洞

http://www.sina.com.cn  2011年12月21日 12:46  中华工商时报

　　近日，360手机精灵、豌豆荚、腾讯手机助手等多款安卓手机管理软件曝出安全漏洞，在公共WiFi环境下，安卓手机用户可能会被处于同一网络的攻击者盗取所有个人隐私信息，金山安全中心分析认为，这是目前为止国内最严重的智能手机安全风险，金山网络发布橙色安全预警，提醒广大安卓用户尽快升级软件程序修复漏洞。

　　危及数千万用户

　　随着移动互联网的快速发展，手机管理软件几乎已经成为智能手机的必备工具。它主要是方便智能手机与电脑之间的内容同步，用户通过该软件，可在电脑中直接管理手机中的通讯录、短信、照片、视频、音乐等个人信息，也可以直接为手机安装应用程序和游戏等。

　　金山网络安全专家李铁军介绍，这类软件主要通过FTP服务来管理手机文件，但如果技术实现存在漏洞，就会导致在同一网络下的计算设备均能够登录FTP访问该手机。比如在咖啡馆、商务办公场所、机场等公共WiFi网络环境中，攻击者不经允许就可以恶意访问、上传、下载或篡改、删除手机信息，包括手机内存、存储卡中的照片、短信、聊天记录、电话录音、视频以及其他文档等个人隐私。

　　截至2011年第三季度，中国网民拥有的安卓手机总量约2500万台，超过苹果iPhone，成为最大的国内智能手机平台。此外，由于安卓平台开源开放、价格较低，安卓手机正处于高速爆发的时期。上述三款手机管理软件覆盖国内约80%的安卓用户，因此该WiFi漏洞可能影响数千万安卓用户，是目前为止国内最严重的智能手机安全风险。

　　由于影响较大，该风险引发了安全机构的极大重视，金山安全中心对此进行了专门的技术分析，并发布了研究报告。该报告显示，在这三款软件中，360手机精灵带给手机用户的安全威胁最大。据分析，360手机精灵也是通过FTP服务来管理手机文件，但是它的FTP用户名、密码是没有经过加密的明文保存在程序配置文件中，该密码固定不变。而且，该FTP的登录也并未限制客户端，也就意味着，除了用户自己连线的电脑外，其他电脑或者手机也可登录该FTP访问该手机。此外，360手机精灵目前通过360安全卫士(微博)捆绑推广，用户的电脑和手机在没有得到明确提示的情况下被静默安装，并默认开机自启动。

　　倡议构建手机管理安全标准

　　目前，这三款软件在发现漏洞之后均进行了升级。但金山安全中心分析发现，即使升级之后，360手机精灵提供的新解决方案仍然存在较大的安全风险。

　　360手机精灵新版本仅仅对访问手机的电脑IP进行了过滤限制，只允许用户自己的电脑通过USB数据线访问手机。但金山安全中心分析显示，360手机精灵提供的FTP服务还存在，用户名、密码仍然能够被攻击者获取，然后通过用户电脑作为跳板访问其手机。

　　豌豆荚升级后关闭了在WiFi环境下管理手机文件的功能来避免漏洞的风险，但豌豆荚使用的WiFi连接验证码是固定的，仍然存在一定风险。腾讯应用助手升级后只有输入动态验证码才能访问手机，相对以上两者都更加安全和完善。

　　李铁军表示，手机管理软件确实为广大智能手机用户带来了极大的便利，使得用户可以通过电脑便利地管理手机信息，但是便利性不能以牺牲用户数据安全为代价。

　　专业机构LookOut调查显示，97%的手机用户认为个人隐私最重要。尤其使用智能手机，其中得到的个人隐私信息更多，如果泄露，随时会给个人生活带来非常大的麻烦，甚至引发“艳照门”、敲诈门等更大的安全风险。

　　金山网络提醒安卓手机用户尽快升级软件，或者更换更为安全的手机管理软件。同时，建议软件厂商在做技术方案时要充分考虑用户数据安全问题，软件通过升级可以很快修复漏洞，但是给用户已经造成的伤害却难以弥补。金山网络倡议手机管理软件厂商建立技术交流机制，共同构建相关技术标准，推动中国移动互联网健康发展。

 

安卓软件曝漏洞 手机管理安全标准呼之欲出

2011年12月28日00:09北京商报

就在CSDN泄密还未平息之时，豌豆荚等多款安卓手机管理软件也曝出安全漏洞。在公共WiFi环境下，安卓手机用户可能会被处于同一网络的攻击者盗取所有个人隐私信息，这也是目前为止国内最严重的智能手机安全风险。有关专家倡议，应未雨绸缪，尽快构建手机管理安全标准，以保护移动互联网时代的隐私安全。

消费者

对手机安全观念淡薄

随着移动互联网的快速发展，手机管理软件几乎已经成为智能手机的必备工具。它主要是方便智能手机与电脑之间的内容同步。用户通过该软件，可在电脑中直接管理手机中的通讯录、短信、照片、视频、音乐等个人信息，也可以直接为手机安装应用程序和游戏等。

但记者在调查中发现，诸多的用户在使用手机管理软件时，并没有什么安全观念。记者在东单、西单等区域随机走访了一些智能手机使用者。他们大都认为自己的手机管理软件相对安全，并没有什么风险。“我只是在手机管理软件上下载一些小程序，应该不会有什么安全风险吧。”在新东安商场购物的郑小姐告诉记者。

金山网络安全专家李铁军(微博)告诉记者，手机管理这类软件主要通过FTP（文件传输协议）服务来管理手机文件，但如果技术实现存在漏洞，就会导致在同一网络下的计算设备均能登录FTP访问该手机。比如在咖啡馆、商务办公场所、机场等公共WiFi网络环境中，攻击者不经允许就可以恶意访问、上传、下载或篡改、删除手机信息，包括手机内存、存储卡中的照片、短信、聊天记录、电话录音、视频以及其他文档等个人隐私。

最新数据显示，截至今年三季度，国内网民拥有的安卓手机总量约2500万台，超过苹果iPhone，成为最大的国内智能手机平台。此外，由于安卓平台开源开放、价格较低，安卓手机正处于高速爆发的时期。因此该WiFi漏洞可能影响上千万安卓用户，是目前为止国内最严重的智能手机安全风险。

3款安卓手机

管理软件存漏洞

由于影响较大，该风险引发了安全机构的极大重视。金山安全中心对此进行了专门的技术分析，并发布了研究报告。该报告显示，在360手机精灵、豌豆荚、腾讯手机助手这3款覆盖了80%安卓手机的管理软件中，360手机精灵带给手机用户的安全威胁最大。

据分析，360手机精灵也是通过FTP服务来管理手机文件的，但是它的FTP用户名、密码是没有经过加密的，明文保存在程序配置文件中，该密码固定不变。而且，该FTP的登录也并未限制客户端，这就意味着，除了用户自己连线的电脑外，其他电脑或者手机也可登录该FTP访问该手机。此外，360手机精灵目前通过360安全卫士捆绑推广，用户的电脑和手机在没有得到明确提示的情况下被静默安装，并默认开机自启动。

另外，与360手机精灵相比，腾讯应用助手虽然也存在安全风险，但腾讯应用助手不使用固定的访问用户名、密码和端口号，也不使用FTP协议，有动态验证，因此风险较小。

记者发现，目前，这3款软件在发现漏洞之后均进行了升级。但有专家分析发现，即使升级之后，新解决方案仍然存在较大的安全风险。像豌豆荚升级后关闭了在WiFi环境下管理手机文件的功能来避免漏洞的风险，但豌豆荚使用的WiFi连接验证码是固定的，仍然存在一定风险。

手机管理安全标准

提上日程

专业机构LookOut的调查显示，97%的手机用户认为，个人隐私最重要。尤其使用智能手机，其中得到的个人隐私信息更多。如果泄露，随时会给个人生活带来非常大的麻烦，甚至引发“艳照门”、敲诈门等更大的安全风险。

随着公众对隐私权的担忧，制定相关的法律法规也被提上议事日程。记者通过查阅发现，目前只有《互联网终端软件服务行业自律公约》对个人信息做了初步界定，但属于行业自律规范，不具有法律约束力。据悉，工信部正在制定《信息安全技术信息系统个人信息保护指南》。这个属于个人信息保护的国家标准，仍在制定之中。

国内杀毒厂商网秦的相关负责人表示，对于拥有永远在线、身份识别、位置和电子支付能力的智能手机来说，它的安全性远比PC时代复杂和严重。因此尽快出台智能手机安全管理办法和标准已是大势所趋。

中国软件资讯网相关负责人陈礼明表示，手机管理软件确实为广大智能手机用户带来了极大的便利，使得用户可以通过电脑便利地管理手机信息，但是，便利性不能以牺牲用户数据安全为代价。“除立法外，手机管理软件厂商应建立技术交流机制，共同构建相关技术标准，推动中国移动(微博)互联网健康发展。”

链接

用户数据泄露后“亡羊补牢”

安全厂商发布密码安全鉴定器

本周，人气网站天涯社区被曝出用户数据库遭黑客公开，涉及的用户量据称有4000万之多。对此，天涯方面回应，此次被盗的数据为2009年之前的备份数据，但尚未确认具体的泄露数据及原因。

记者了解到，针对越来越严重的密码泄密事件，金山网络等安全厂商已经发布一级红色安全预警，提醒网民尽快修改密码。金山还紧急推出了密码是否泄露的快速查询服务，并在金山毒霸“百宝箱”中新增了鉴定用户密码安全性功能的“密码专家”。

12月21日，国内知名程序员网站CSDN的大量用户数据库被公布在互联网上，600多万个明文的注册邮箱和密码被曝光。12月22日，泄密事件继续扩大，更多网站卷入其中，网上曝出人人网、天涯、多玩等多家知名网站的用户数据也被泄露。

据悉，该事件为近年来规模最大的互联网泄密事件，大众网民连夜修改网上账户和密码。由于牵涉网站众多，且很多网民在多个网站均使用相同的账号和密码，虽然修改了部分账号与密码，但心里仍然不能确定自己隐私是否安全。

大量用户数据被公开后，分析发现，国内网民的密码安全意识十分薄弱。CSDN高达640万个账户信息被曝光后，有人对此进行统计，结果显示，有239万人的密码和别人存在重复。在所有密码中， “123456789”使用率最高，有23.5万人在使用；其次为“12345678”有21万多人使用。

记者了解到，目前，国内杀毒厂商也开始提供相关服务。金山毒霸就应急推出了“金山密码专家”。它不仅能鉴定密码的强度，还能根据用户输入密码实时推荐强度较高的“优化密码”，且针对用户高频使用的密码或已被网络曝光的弱密码，它会给予用户警告。

Android 4.2新漏洞 应用界面完全透明

2012年12月03日 13:15   中关村在线 微博   

　　谷歌在上周发布Android 4.2.1升级，修复了之前版本中的12月确实问题。不过就在新版本中，又有用户发现了一个新的漏洞。

Android 4.2新漏洞

　　据悉，在现版本中用户选择次级账户登陆时，应用界面会突然变为透明状态，用户能在应用界面直接看到主屏幕，这立马又让人不淡定了。不过该问题进出现在次级账户登陆时，主账户下还不会有这种情况出现。

　　谷歌在Android 4.2中加入了全新的多账户功能，但接二连三的曝出账户问题让用户伤不起，不过好在这次受影响的只是不常用的次级账户，所以用户来能够忍耐，直到Android 4.2.2发布。

 

多款Android手机曝远程漏洞

据国外媒体报道，包括三星、MOTO在内的多款Android手机，曝出远程漏洞。Android用户只要点击某个特定链接，手机数据就可能被彻底清空。据金山移动安全中心测试，该漏洞在国内多款Android手机上存在，手机毒霸已紧急升级拦截该漏洞。

据手机毒霸安全专家介绍，该漏洞的原理是：通过浏览器访问某个特定链接，即会启动Android手机拨号程序，执行任意内部指令，比如三星Galaxy S III 的恢复出厂设置指令：“＊2767＊3855#”，当拨号程序执行该指令后，则用户手机上的数据会全部被清空。

而更令人担忧的是，这种攻击有多种渠道可以实现，众多手机用户都有可能中招：比如，攻击者使用微博、微信、手机QQ等常见社交工具发布攻击链接，正在使用手机阅读的用户点击了此链接，就很容易中招。

专家提醒：要检测自己的手机是否存在这个漏洞，尝试用手机访问（http:///phone.php）这个地址，如果存在这一远程擦除漏洞，点击后，会自动显示手机的 IMEI 号（即移动通信国际识别码）。

手机毒霸为解决这个重大风险，迅速进行了安全升级，当用户不小心点击此漏洞链接，被执行数据擦除行为前，手机毒霸可对此恶意行为进行拦截，以阻止攻击代码被意外执行，保障手机安全。

手机毒霸安全专家建议Android手机用户近期不要轻易点击来历不明的网址，推荐使用手机毒霸拦截该风险。

 

央视曝光短信欺诈漏洞 腾讯手机管家已全方位查杀

2012-12-03 16:48:29　来源：中国财经网　 　

   日前，央视东方时空针对美国北卡罗来纳州州立大学发现的Android“短信欺诈”漏洞进行了大规模的报道，黑客可以通过该漏洞轻松破解并模拟手机中任意号码给你打电话和发短信。而自从该漏洞出现后，腾讯手机管家迅速反应，在2012年11月7日就发布V3.88版本推出双重解决方案修复了该漏洞，目前Android手机用户可安装腾讯手机管家最新版，针对央视所报道的Android系统“短信欺诈”漏洞进行有效全面查杀。

 

 

据央视报道，恶意软件可利用短信“欺诈漏洞”伪装成手机里面通讯录熟人，进行诈骗，令人防不胜防。更让人震惊的是，利用这个漏洞的恶意软件，在手机未联网的情况下，依然可以向用户发送欺诈短信。

 

而事实上，针对此漏洞，手机安全行业早已作出应对方案，据悉，腾讯手机管家已于11月上旬修复了“短信欺诈”漏洞，并推出了“短信欺诈”病毒专杀工具，一旦发现有利用该漏洞发起的钓鱼式欺诈攻击时，该专杀工具会有效检测出“短信欺诈”类病毒或恶意软件并一键查杀清除。

 

 

相关媒体报道，“短信欺诈”病毒在11月下旬曾大规模出现，腾讯手机管家已查杀曝光了550款短信欺诈病毒，日前更查杀到在国外大规模肆虐的最新“短信欺诈”类病毒a.fraud.superpush。该病毒感染了200多款国外的诱惑性动态壁纸软件。

 

 

 

“短信欺诈”漏洞牵涉到另一个让人防不胜防的问题，则是隐私权限被恶意软件不正当获取。央视透露，安卓系统里65%的程序会将信息透露给开发者，38%的信息被发送给广告商，12%的信息会被发送给无法确认身份的第三方。许多软件在安装之前会向用户要求一定的权限，用户在不知情的情况下往往会将这些隐私权限授权给相关软件。

而目前恶意软件或病毒也是利用短信欺诈漏洞，获取用户联系人等隐私权限，向用户发送欺诈短信，获取非法收入。手机隐私泄露风险正向每个手机用户全面逼近。

笔者了解到，目前手机安全行业针对这种不正当的隐私授权也进行了技术上的限制。据悉，腾讯手机管家首创的“隐私保护”功能中具备“权限监控”功能，可以针对相关软件不合理的权限要求，及时弹窗提醒用户拒绝。比如一款壁纸软件要求获取照片、通讯录等隐私信息，用户应及时通过该功能进行“拒绝”操作，保护自己的隐私。

 

而一旦有恶意软件或病毒通过“短信欺诈”漏洞调用手机隐私，已修复该漏洞的腾讯手机管家可以通过“权限监控”功能及时监控到权限调用，并有效阻止病毒或恶意软件利用该漏洞向用户发送欺诈短信。

 

不少Android用户表示，短信欺诈漏洞出现后，以后收到熟人重要短信也要电话确认才靠谱。但腾讯移动安全实验室专家告诉用户不必恐慌，他表示，及时下载腾讯手机管家利用“短信欺诈”专杀工具可有效查杀“短信欺诈”类病毒并防御其欺诈攻击；同时用户应留意手机的隐私权限，一旦发现腾讯手机管家“权限监控”提示有超出软件本身的隐私权限申请，用户应及时拒绝，可有效保障财产与隐私安全。

 

安卓手机曝tel漏洞 360手机卫士升级

2012-09-27

        当用户不小心进入到嵌入有恶意代码的网站时，在其毫不知情的情况下，手机就会被直接擦除所有数据，恢复到出厂状态。目前360手机卫士最新升级版已经封堵住该漏洞，不会受到该漏洞的危害。而使用360手机卫士自带的“安全通讯录”替代系统提供的拨号程序，也可以规避此安全风险。

        昨天，国外媒体曝光了一个存在于安卓手机内的系统高危漏洞：通过访问恶意网站，安卓手机内的用户数据可能被故意全部清空。仅仅过了不到18小时，国内最大安全厂商360旗下360手机卫士，就已迅速分析、验证了该漏洞，并紧急推出最新升级版，为安卓手机用户迅速封堵住这个可利用“Tel指令”作恶的安全漏洞。

       据360安全专家验证：当用户不小心进入到嵌入有恶意代码的网站时，在其毫不知情的情况下，手机就会被直接擦除所有数据，恢复到出厂状态。目前360手机卫士最新升级版已经封堵住该漏洞，不会受到该漏洞的危害。而使用360手机卫士自带的“安全通讯录”替代系统提供的拨号程序，也可以规避此安全风险。

      “安卓系统浏览器可以通过访问一个网址的方式来调用“tel指令”，而且过程中完全不需用户确认，如果有人恶意制作网址链接诱导用户点击，就会导致用户所有数据被删除。”360安全专家表示，“这也不排除，有不良开发者通过恶意插件，在用户不知情的情况下自动访问恶意网站链接，偷偷删除手机中的数据！”

360安全专家验证：存在“tel指令”漏洞的手机正被擦除全部数据

        据360安全专家介绍，所谓“tel指令”，其实很常见。如在安卓手机原生拨号界面输入 “*#06#”就可以查看IMEI；但另外一些比较“冷门”的“tel指令”，除了专业人士和部分手机发烧友外，一般手机用户可能就都不太了解了。如在拨号界面输入字符“*2767*3855#”，其实可以将手机恢复成出厂设置，即清空所有数据，包括通讯录、已安装软件等。（如未事先备份过重要数据，请勿尝试恢复出厂设置，这将导致您的个人数据损失。）

        据悉，该漏洞被证实已经影响到三星、HTC、摩托罗拉等多个品牌的大量安卓智能手机。截至目前，除三星公司表示将尽快更新固件解决此漏洞外，其他手机厂商尚未回应。360安全专家建议用户尽快将360手机卫士升级到最新版，以防范手机重要数据被远程擦除的风险。

        360手机卫士的最新版，具备高效智能的主动防御（需ROOT权限）功能：一旦发现利用此漏洞的的恶意行为时，360手机卫士会提醒用户“注意！为您拦截到可疑的危险操作，该操作将会清空联系人、删除全部已安装软件。该操作利用了系统电话程序的指令漏洞，360手机卫士可以时刻保护你远离漏洞威胁。”此外，如果用户安装了360手机卫士里自带的360安全通讯录，因为没有使用安卓原生的拨号软件，自然也可以规避此安全风险。

安卓手机曝高危漏洞 手机毒霸首推修复补丁
2012-11-07 

 　　当你收到女朋友的短信，要你往她支付宝里充500元，虽然短信的确来自她的号码，这却可能是一个骗局。这个耸人听闻的故事就是近日被披露的安卓“短信诈骗漏洞”，谷歌官方已证实所有版本的安卓系统均存在这一漏洞。手机毒霸全国首家推出漏洞修复补丁，力保用户安全。

　　手机毒霸安全中心表示，利用该漏洞不法分子可以伪造来自任意号码短信，比如机主的亲朋好友，甚至银行、政府等机构，甚至很多资深手机用户都无法分辨短信真假。目前，相关恶意代码和程序已经在互联网上出现。

 

　　图1 攻击者可以利用“短信诈骗漏洞”伪造出“假的真短信”

　　谷歌官方表示“将在未来的Android系统升级中修复这一漏洞”。业内人士指出，安卓手机升级迟缓滞后一直饱受诟病，部分厂商还限制了系统升级，结果就导致大量安卓用户几乎无法自行升级，漏洞的威胁将长期存在。

　　更令人担忧的是，利用了“短信诈骗漏洞”的恶意程序，即使在手机未联网状态下依然可以发送欺骗性短信，并且不要求获取任何系统权限。所以常规手机安全软件使用的“禁止联网”、“权限控制”等手段，根本无法解决漏洞的危害。

　　手机毒霸今日全国首发修复“短信诈骗漏洞”的第三方补丁(编号：KM12002)，这是继10月份爆发的安卓“远程擦除漏洞”之后，手机毒霸第二次为安卓系统发布第三方补丁。

　　通过手机毒霸安装补丁后，已经root的安卓手机可直接实现对短信诈骗漏洞伪造消息的拦截。在未root的安卓手机上，手机毒霸则会对利用短信诈骗漏洞的应用程序进行提示，警告用户存在风险，引导用户卸载。

 

　　图2 手机毒霸拦截短信诈骗漏洞的监控日志

　　已安装手机毒霸的用户在主程序界面点菜单键，选择“联网更新”，即可下载KM12002补丁并获得对“短信诈骗漏洞”的防御能力，新用户可从官网(http://m.)下载最新版手机毒霸。

不用密码登陆QQ 手机QQ重大漏洞

用QQ  2008  的同学 注意啦  方法  是这样的，找一个你设了记住密码的QQ号，下面出现了密码，不要登录！ 再回到QQ号码栏找到 没有点记住号码的那个号码  点确定，下面的密码没动，点登陆，OK了！！ 在手机上登录过 的号码  你都可以随时登陆！！

教程 重点  不是直接切换成别的QQ号,而是你把别人的QQ号记下来以后,换成保存密码的QQ号,然后再输入你刚才记下来的另一个QQ号,如果直接切换的话,那个密码就会变成空的了.
相信更多人用 QQ2010
首先先登陆你的qq并记录密码，｛最好是自己的qq号设为常用号码）登陆之后退出qq软件
注：如果之前你的qq号记录密码的这一步可以直接省了
现在进入正题：
一：用x-plore打开qq安装盘，QQ文件安装在哪个盘就打开那个
既：C\E\system\Apps\Tencent\QQ
这个文件夹下可以看到自己的qq号文件夹，把这个文件夹重命名，可以随便改！比如我就改为123
｛关键步骤｝二：然后再找到你想登陆的qq号文件夹并重命名为你自己的qq（是改为自己的qq号）搞好后，直接退出

三：打开qq软件，你会发现你自己的qq之前是有记录密码的，现在没有了，不用管它，直接输入密码并记录密码登陆一次，登陆之后注销登陆（是注销不是退出软件）然后在输入qq号框里找到你想登陆的qq号，不用输入的，你会惊奇地发现居然记录密码了！*^o^*登陆试试，是不是成功了？
别做坏事噢！
注：手机上的QQ必须被其他号码登陆过而没保存密码的，比如说，你朋友或同学借你手机登QQ，而他没有把密码保存！这样就可以上他的号！
本文来自猴岛游戏论坛 ：http://bbs./r4434178_u/