在「Android系統推送廣告的危機?!」一文中,我們分析過推送廣告帶來資訊保安的問題。要解決這些問題,我們可採用以下的方法。
1. 使用官方市場
根據多方報告,絕大多數的惡意程式都存放於非官方市場。儘管某些程式在官方和非官方都同時擁有,但惡意程式員是有能力重新包裝 (re-packet) 程式,將惡意程式碼注入,再寄存於非官法市場。因此,為保障你的手機,應該只在官方市場下載應用程式。
圖1. Google官方的應用程式市場「Play Store」
在2012年2月,Google在官方市場Play Store推出Bouncer服務,自動掃瞄上載的應用程式以偵測惡意軟件,大大減少惡意程式在Play Store上的出現。Google更是有能力作出遠端移除惡意應用程式,減低惡意程式所帶來的問題。可見,使用官方市場會帶來相當的保障和安全。
有關Bouncer可參考:http://googlemobile.blogspot.com/2012/02/android-and-security.html
2. 注意應用程式的使用權限
每當安裝新的應用程式時,應多注意該程式的使用權限。因為多數的惡意或含有推送廣告的程式都會使用很多權限。在安裝前,如發現一些應用程式需要過多的權限 (over permission),就要特別注意。
圖2. 安裝應用程式時,用戶需要接受程式的使用權根
在更新應用程式時,也應注意權限的改動。在官方市場Play Store更新程式,它會對照新舊版本的使用權限,如果有權限增加或減少,Play Store便需要用戶「手動更新」,令用戶重新注意權限的改動。
其中一些比較高危的權限:
需要額外費用
直接撥打電話號碼 (CALL_PHONE)
傳送SMS簡訊 (SEND_SMS)
系統工具
開機時自動啟用 (RECEIVE_BOOT_COMPLETED)
取得執行中應用程式 (GET_TASKS)
編輯全域系統設定 (WRITE_SETTING)
電話功能資料
讀取手狀態和識別碼 (READ_PHONE_STATE)
攔截撥出電話 (PROCESS_OUTGOING_CALLS)
個人資料
讀取聯絡人資料 (READ_CONTACTS)
輸入聯絡人資料 (WRITE_CONTACTS)
讀取瀏覽器的記錄與書籤 (READ_HISTORY_BOOKMARKS)
寫入瀏覽器的記錄與書籤 (WRITE_HISTORY_BOOKMARKS)
3. 安裝信任的保安程式
一個好的保安程式能有效掃瞄惡意和含有推送廣告的程式,它還可以決定所安裝的程式是否信任,保障你的手機維持良好環境。
現在有很多手機使用的保安程式,除了掃瞄惡意軟件外,還提供很多保安功能,包括查看應用程式權限、網頁安全瀏覽、手機數據備份、尋找遺失手機、遠端數據抺除等等。
圖3. Android的防惡意程式和手機保安工具
4. 使用廣告/插件偵測器
當遇上推送廣告,又不知道是哪一個應用程式所引起,廣告/插件偵測器就能發揮其功效了。這類應用程式可以掃瞄手機程式是否含有廣告插件,以斷定哪一個程式引致推送廣告。除了主動掃瞄,還有一些偵測器可以在後台監測通知欄的活動,並記錄下來。用戶只要查閱記錄,便能更有效得知訊息是由哪一個程式所引致。
圖4. Android的廣告/插件偵測器
Android 4.1 Jelly Bean新功能
如果你的手機已經是Android 4.1系統的話,就更能有效阻止煩厭的推送訊息。在 Android 4.1系統本身已帶有「顯示通知」功能,只要在指定程式選擇不顯示通知即可。(圖5)
圖5. 「顯示通知」選項
當遇上一些不明的推送廣告,不知道由哪一個應用程式引起?你可以在通知欄上長按該通知訊息,它便會彈出「應用程式資訊」選項。進入應用程式資訊,你便知道引起該通知訊息的程式,以方便了解該程式和停止其顯示通知。(圖6)
圖6. 長按通知訊息,彈出「應用程式資訊」選項
Google新政策,針對不恰當廣告行為
Google在今年八月初調整了開發人員應用政策,當中包括應用程式的命名、圖示、付款、隱私、垃圾郵件和廣告等。新規定目的就是解決應用程式中的廣告行為問題。對於不符合新規定的應用程式,將可能遭到警告或從Google Play中刪除。
有關新規定可參閱:http://play.google.com/about/developer-content-policy.html
文章內容由 HKCERT 提供 http://www.hkcert.org/