標籤彙整: Android

你的 Android 電子書閱讀 Apps 是否權限過大?

資料來源:你的 Android 電子書閱讀 Apps 是否權限過大?

很多人使用 Android 裝置閱讀電子書,但有幾多人知道這些電子書 apps 擁有幾大權限 - 可以讀取多少你的個人資料?Matt Bernius 比較了 17 種最流行的電子書 apps,發現很多 apps 取得超越所需的權限,例如接近四分之一 apps 可以知道你的地理位置,一半 apps 可以讀取你的電話號碼和 IMEI 號碼,有兩個 apps 知道你的 Android 系統內還有哪些 apps,這些權限跟閱讀電子書可說毫無關係。

雖然 Android 的 apps 在安裝的時候會列出它們所需的權限,但很多權限都晦澀難明,Apps 也沒有解釋它們為什麼需要這些權限,絕大部分的用戶都只是機械式地授權。

Android 電子書 apps 權限列表
Android 電子書 apps 權限列表 (圖片來源:EFF)

很不幸地,Android 的權限架構是用家只能「要或不要」(take it or leave it),用家要麼賦予某個 apps 全部要求的權限,否則便不能安裝這個 apps,不能選擇性地賦予部分權限。一些高階的 Android 用家會把裝置中的 Android 操作系統移除,換上一些以 Android 原始碼另行開發的操作系統,例如比較出名的 CyanogenMod,才可以享受更有彈性的授權機制。

Google Nexus 安全漏洞,SMS 可使手機癱瘓

資料來源:Google Nexus 安全漏洞,SMS 可使手機癱瘓

使用 Android 4.X 的任何型號 Google Nexus,若果受到大量特定形式的 SMS,可引致手機癱瘓、或重新啓動、或失去網絡連線。發現這個問題的研究員說,他在超過一年前已經通知 Google,但直到半年前 Google 才回覆說會在 Android 4.3 修正問題,怎料直到 4.4 仍然不見蹤影,於是他在十一月在一個於羅馬尼亞舉行的電腦安全會議上公佈此事,成功逼使 Google 承諾調查這個漏洞。

發現這個問題的是一個德國系統管理員 Bodgen Alecu,他說當 Google Nexus 接收大約 30 個 Flash SMS 便會失靈,症狀包括手機表示簡訊應用程式已停止運作、手機重新啓動 (最常見的症狀)、和手機無法接收流動數據。

Flash SMS 又稱為 Class 0 Message,是一種透過 SMS 系統傳送,但只會在主屏幕上顯示,不儲存在收件箱的 SMS,也不會觸動振動或聲響提示,主要用作緊急通知 (例如火警通知),或隱秘訊息 (例如發送一次性的密碼)。

在 Google 解決此問題前,Nexus 的用戶可以安裝 Class0Firewall app 防治問題發生。

Android 4.3 安全漏洞,Apps 可撤銷所有系統鎖定功能

資料來源:移除 Android 手機的鎖定功能

Google 在九月宣佈 Android 手機新增一項功能,用戶可以遙控把手機鎖定,當手機被盜或違失時特別有用,新功能會撤銷本來的鎖定設定,並設定密碼保障手機的安全。這本來是一個好主意,但是有人發現 Android 一個安全漏洞,Apps 可以撤銷 Android 4.3 所有鎖定功能,令這個遙控鎖機功能形同虛設。更令人驚訝的是,發現這個漏洞的公司向 Google 通報,但 Google 一直不作回應,他們唯有把問題公開,希望用家關注。

這個漏洞由德國的 Curesec Research Team 發現,Android 操作系統讓用家使用密碼、手勢、或面孔識別來鎖定及解鎖手機,若果手機安裝了意圖不軌的 Apps,它可以繞過這項安全要求,無需知道解鎖方法和密碼也可以把手機解鎖。該公司說:

漏洞來自com.android.settings.ChooseLockGeneric 類別,這個類別是用來給用戶修改鎖定的機制。