移动:安全(或不安全)输入

Question

我不知道手机上的木马或恶意软件，但我想知道有一些真实的攻击案例，攻击的目标是:获取键盘(或屏幕+键盘)用户输入。有什么方法可以保护设备免受这种麻烦吗？我读到过实现自定义键盘可以帮助保护你的应用程序。如何提高我的应用程序安全性？验证码与自定义键盘结合使用是否足够？有什么反馈吗？

Answer 1

操作系统通过在用户自己的沙盒中运行应用程序来保护用户。一次只有一个应用程序可以访问/监视屏幕。现在，如果你说的是越狱设备，那么好吧，所有的赌注都落空了。

一般规则是，如果某人有物理访问设备的权限，他们无论如何都拥有它。因此，如果你没有越狱一个设备，并且没有攻击者物理访问你的设备，假设没有重大漏洞，你就不会受到这种类型的攻击。

Answer 2

是一些真实的攻击案例，其目标是:获取键盘(或屏幕+键盘)用户输入。

嗯，我不确定我在实践中看到了什么(或者目前脑海中还没有)。Android恶意软件通常只是要求太多的权限，然后用户(或运营商)将其提供给他们，因此没有必要使用不正当的手段。

更糟糕的是，Google recently removed App Ops，所以没有办法限制那些过度错过的应用程序的授权(除非你从你的设备上拔掉根并转移到像Cyanogenmod这样的mod )。

这里有一个概念的证明：TapLogger: Inferring User Inputs On Smartphone Touchscreens Using On-board Motion Sensors。

还有一个内置的诊断软件，是恶意软件编写者梦寐以求的。请参阅下面的QXD或高通eXtensible诊断监视器。

安全元素依赖于Trusted User Interface，它包括可信的输入和可信的屏幕。安全元素是指那些有时运行在微型计算机(如嵌入式智能卡)上的小程序(如Java applet)，以及近场通信( NFC )支付、谷歌钱包等强大功能。

我读到过实现自定义键盘可以帮助保护你的应用程序。

我相信这里的想法是将每次运行的键随机化，以避免可识别的模式(应该是冲浪者)，避免污点(推断键点击)和点击记录技巧(如论文中所述)。

与自定义键盘结合使用验证码是否足够？

我不确定验证码在这里会有什么帮助。验证码通常用于在威胁模型识别差距时减慢自动攻击，如机器人。您的脑海中是否有特定的用例？

有什么反馈吗？

Trusted Execution Environments和Trusted User Interface对于商用硬件来说是很困难的，因为几乎所有的东西都是共享的，从cpu到屏幕再到总线。我认为这是一个需求驱动的案例，所以一些东西将被出售，以利用市场。

另请参阅，例如ARM Trust Zones。

如何提高我的应用程序安全性？

Nexus不要在运营商之外使用，因为它将由谷歌smartphone

• Buy更新。避免使用非updated

• Avoid运营商设备的运营商设备，如QXD (请参阅below)

• Remove不需要的软件，如赛车游戏"OS Required"

• Don't install

1. you‘t write you
3. use a知名mod (如Cyanogen)，解决了一些安卓系统的安全漏洞

QXD，或Qualcomm eXtensible诊断监视器，从Sprint获得所有这些。请注意，它应该是诊断软件，但它窃取我的个人信息，如机密信息，消息，联系人和日历。它还获得了提供付费服务的许可。它是预装的，我不能停用或删除它。

​

​