Total Pageviews

Saturday, 1 September 2012

手機惡意程式大舉入侵,教你5招判斷惡意程式


近半年Android上的惡意程式數量爆增,數量從80個增加到至少400個,還有許多是還沒被偵測出來的。我們在一些聚會和交流的過程中發現許多人對手機的安全觀念是知而不防,總認為不會是抓到惡意程式的那位倒楣鬼,殊不知惡意程式就藏在許多看起來好玩的程式裡面,因此《硬是要學》利用 Android Market 上的資訊,提供一些基本但非常重要的惡意程式判別方式,下載程式前請多加留意。

第一招:注意星級及評等數
Android Market 裡提供的星級評等功能可以讓我們了解 APP 的優劣,但是 4星、5星的程式一定好嗎,不見得!為了避免惡意操作星級,評等數達500+才較具有參考價值,如果有1000個人都給該 APP 4顆星的評價,那麼這個APP可以考慮下載;反之若只有10來個人評等,這個分數就尚未具參考價值,可再透過其他方式判斷,除非開發商是您所信任的。

第二招:觀察使用者評論
我們觀察到在 Android Market 上的留言不是讚到冒泡就是罵到翻桌,因此一個程式的好壞絕對可以從網友的評論中看出一二,例如有些程式裝在某款手機上無法使用,會跟什麼程式衝突,或者背景傳輸資料…等等,若有網友討論到關於隱私和權限使用的問題要特別注意,因為有些惡意程式會大量要求不相關的權限。如果完全沒有使用者評論的話還是得多加留意,畢竟少裝一個程式不會損失,只怕裝了之後被暗地裡偷竊資料。

第三招:留意APP的功能及介紹
什麼樣的APP最容易吸引人?前幾名莫過於可愛、簡單、有趣、熱門的 APP,舉凡飼養寵物、正妹時鐘、抓魚遊戲、電影桌布…都有可能被植入惡意程式,為什麼?因為很多人看到這類玩意就忍不住想裝來玩,看到好遊戲就想試玩看看,人家就是吃定你這點,所以也不需要太複雜的設計,簡單包裝之後再取個適當的名稱,輕鬆上架等人中招。

功能複雜的 APP 就不會藏惡意程式嗎?很難說,凡事都有可能,只要能取的他們要的成果是無所不用其極的。

第四招:查看APP存取權限
不論是從 Market 或是從官方網站上下載 App ,下載前,頁面上都會告訴你這個 APP 會存取手機的哪些權限,千萬不要像安裝電腦軟體一樣一直按下一步,如果你正要安裝的是手機按摩程式,但卻需要GPS定位的權限,這不是很詭異嗎?我不是隨便舉例,下圖就是一個活生生的例子,你也可以自己到 Market 上搜尋到。

第五招:留意開發者的其他APP
在數十萬個 APP 中要怎麼讓使用者下載並中招呢?最簡單的方式就是把大量的 APP 塞進 Android Market 裡提高被下載的機率,然後同一種 APP 再分成不同版本、不同語言或不同背景換個名稱重複上架,這樣一來就可以在短時間內生出數百個惡意程式。

在 APP 資訊介面左側欄位可以看到開發人員的其他 APP ,按下 APP 名稱下面的開發者連結就可以看到該開發商所有發布的程式。

你看看,每個APP功能都很單純,而且介紹跟名稱一模一樣,你辛苦開發出來的程式會在這最後一線敷衍上架嗎?不會吧!所以這就可以自己判斷是不是惡意程式了.