軟體免費像是一種潮流，收費軟體生存空間變小，只能變向獲利。

於是.....

app加入資訊蒐集，使用者行為收集，植入廣告，留後門。

為了利益，修改帶資金的app，竊取使用者資金。

app加入挖礦功能，挖黑金。

利用第三方sdk介面收集使用者資訊。

app中插入廣告連結。

app中植入木馬。

利用使用者手機發動ddos攻擊。

偽裝成官方應用......

我們瞭解的僅僅是新聞上所報出來的，還有許多暗流不為人知。總結以下幾點安全須知，供廣大Android使用者參考。

不安裝非官方應用

非官方apk可能被植入木馬。

Apk反編譯植入木馬，利用漏洞系統提權獲取手機所有操控權。

毀輪子的成本肯定比造輪子的成本低，apk安全也是一樣，目前國內99%apk都是能二次重打包，可任意修改apk，加入新的功能。甚至可以直接複用當前apk包中任意功能。

比如某x信中，只需要將這段程式碼註釋掉，檢測更新功能就去掉。

攻擊者可在應用中加入遠端執行功能，攻擊者可以遠端執行應用中的命令，比如遠端列舉vx的目錄。

某使用者在網上搜索自動搶紅包軟體，下載被植入木馬的vx，安裝到手機。

某使用者在網上搜索跳一跳外掛，不知道里面其實已經植入木馬。

我這有自動搶紅包的支付寶。下載安裝，登入支付寶。

…………錢轉走了，顯示金額不變。

手機連上電腦，某pc端軟體提示安裝某apk.，介面和某數字公司一樣。使用者不毫不猶豫安裝了…………。

總之一句話，不安裝不可信的apk，天下沒有免費的午餐，誘人的功能都是糖衣炮彈。

不是有防毒軟體嗎……？

防毒軟體沒有root許可權是不能對apk內部資料訪問的，可是木馬和應用已經在一起，雖然多數android手機都能root，可是你真的放心root嗎？

沒有root的手機已經提示安裝一堆送應用，有root許可權，直接靜默安裝到系統中……。

確保上網環境安全

通過流量劫持實施http劫持。

大家知道Fillder burpsuite可以抓取http,https的包，並修改返回的結果。

下圖為某銀行登入時抓取的登入資訊：

不安全http可能遭受流量劫持，並替換流量。比如，某應用更新，更新時被流量劫持，apk更新後變成木馬，實施此攻擊只需要攻擊者與受害者在同一網段，比如在某咖啡店上網。

在公共不安全環境上網時，app訪問http域名可能遭到劫持，擷取使用者資訊。

更嚴重的是偽消更新訊息,偽裝成提示app更新，使用者如果不在意安裝了帶木馬的應用……危害巨大。

隨時保持系統為最新版本

這是利用堆溢位的vmvare虛擬機器逃逸漏洞，發生在低版本的vmvare中，如果使用者不升級軟體，使用虛擬機器過程中可能對真機造成危害。

Android系統也是一樣，隨著android熱度不斷攀升,每隔一段時間Android系統都會報出漏洞，如果使用者沒有及時升級系統版本，可能受到安全威脅。

不完全統計，僅2017年android系統漏洞個數上報達到500以上，這裡小編保守估計，其實遠遠超過這個數。

最新版本 

應用升級為最新版本

應用程式更新不只是功能更新，可能是重大的bug修復。

2017年的應用克隆漏洞利用webview域控不嚴謹，竊取應用資料，威脅支付安全，身份安全。

當app場商得到此訊息都會第一時間修復問題，更新新版本可以規避這種類似風險。

看管好自己的手機

手機長時間離身，手機系統軟體可能被替換。

手機被root，替換應用安裝包，植入木馬。

應用被替換,app資料被匯出,可能造成財產損失。

當下移動市場，android手機五花八門。帶木馬行為的app能在google play上存活兩個月，然而我們上不了google play，這就安全了？

網際網路上可以下載自動加搶紅包app，可以隨意修改手機系統刷機，這些看起來很方便，但同時也給安全問題敞開了大門。

更糟糕的是，大家對android app瞭解的還不夠。通常大家只會覺得電腦會中病毒，手機病毒可能很少。

當下移動端數量遠超pc端，病毒數量不亞於pc上，並且更具傳播性。