普通用户如何防范移动漏洞?
- 不选小众手机
- 底层ROM漏洞是移动安全最主要的威胁,不排除手机厂商通过内置应用,恶意手机用户信息,这样用户很容易就变成了“肉鸡”。
- Android手机在启动的时候,底层会启动AMS等系统服务,如果小众手机厂商或山寨手机厂商在手机启动的时候增加了恶意程序,如:时时截取手机屏幕上的信息,用户名、密码、聊天记录、联系人等信息,就会截屏、录音等,个人隐私就无法保证了。
- 不要轻易Root手机
- Root是一个很高的权限,如:文件存储权限,data/data/包名/内置SD卡的私有目录,在没有root手机时,是无法访问的(正常情况下搜索不到,不可见),但root后,就可见了,可以查看数据库里的一些内容,个人信息、文件信息就可能泄露。
- 不要轻易的输入账号和密码
- 举例:垃圾短信(钓鱼网站的诈骗),小额贷款,有人因为缺钱就点击链接,打开WebView界面,输入了个人信息,实际就是个钓鱼网站,就获取到他的账号和密码,所以不要去不正规的网站(有些外网),输入账号和密码。
- 不要轻易的授予权限
- 当下载一个不是很了解的APP时,尤其是系统工具类的,木马特多,不要轻易授予它权限。所以Android6.0以后要动态授予权限,也是给用户的一个保证。
- 不要轻易连接不明WiFi
- 防止中间人攻击。连接之后,可能被人sslstrip攻击(明明是https请求,被降级为http请求,那么请求的数据和返回的数据都被别人获取了)。
- Kali:黑客入门级工具集,它主要在Windows上操作。
- http升级为https,防止http劫持。
- 点击一则新闻连接,为什么出现“澳门赌场”、“菲律宾彩票”等图片、卡片?用户发送http请求时,是明文传输的,返回的数据也是明文的。如果http被劫持,返回的dom节点上加上自己的节点,这就是http流量劫持。如:浏览网页时,看到一大堆广告。
开发者如何防范移动漏洞?
- 不要明文存储重要数据
- 危险分析:手机root后,会随意访问任何目录文件,造成隐私数据泄露。
- 用加密算法将数据加密后,再保存下来。如:MD5
MD5(Message-Digest Algorithm)
MD5,信息摘要算法,一种被广泛使用的不可逆算法,原理是计算哈希值得到的。
既然是不可逆的,为什么还有解密呢?
暴力破解,其实是预存+对比的方法。举例:明文是123,MD5加密后是abc,那么将<123,abc>存入数据库,以后得到MD5生成的密文,就进数据库去比对,是不是abc啊?是,那么明文就是123,就得到了密码,这就是所谓的暴力破解。
适用场景:1. 传递重要数据;2. 下载文件中作为文件名,也就是文件指纹。
拓展:1. MD5 + salt;2. SHA
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
