设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 开源资讯 查看内容

开放是把双刃剑:Android的SMS读取权限引争议

2010-11-1 09:28| 发布者: joejoe0332| 查看: 4136| 评论: 0|原作者: ifanr|来自: ifanr

摘要:   最近纽约时报爆出消息,一个名叫 Secret SMS Replicator 的 Android 应用会偷偷的把手机上的短信息发给另外一台手机。大家一看就知道,这 app 是获取对方有否外遇的利器,或则刺探商业机密等等。开发 app 的 DLP ...

  最近纽约时报爆出消息,一个名叫 Secret SMS Replicator 的 Android 应用会偷偷的把手机上的短信息发给另外一台手机。大家一看就知道,这 app 是获取对方有否外遇的利器,或则刺探商业机密等等。开发 app 的 DLP Mobile 也说:“虽然这个应用有点争议性,但对于感情出问题的人们来说非常有用”。SSP 安装后没有图标和快捷键,所以被安装的手机,如果不是去系统设置里查看当前运行的服务是不知道有这种东西存在的。

  Google 方面获知此事以后,已经以 app 违反 Android 菜市场内容条款的规定,被下架了。所以我无法下载确认该 app 的运行机制,但可以肯定的是用后台服务运行机制,随手机启动而自动运行。这里可以简单说下原理:

  在 Android 程序的 AndroidManifest.xml 里面,定义随手机启动而自动运行的定义:

  uses-permission android.permission.RECEIVE_BOOT_COMPLETED 是告诉 Android 系统我要监听手机启动的事件。当该事件发生以后,BootUpReceiver 会来处理这一事件。这里就可以启动一个后台服务,监听 SMS 的事件。

  监听 SMS 也需要几个系统的权限:

  • 读取 SMS 的权限:android.permission.READ_SMS
  • 监听处理收到的 SMS 的权限:android.permission.RECEIVE_SMS
  • 监听处理彩信的是:android.permission.RECEIVE_MMS
  • 发布 SMS 权限是:android.permission.SEND_SMS
  • 当然还有编辑 SMS 的权限:android.permission.WRITE_SMS

  有了这些系统的 SMS 权限,你的 app 可以为所欲为了。

  可能 Android 团队也意识到这一点,在今年 5 月份的官方 Android 博客上发表了篇隐晦的文章:
Be Careful With Content Providers

  其中指名道姓抓典型的就是 SMS 这个 Content Provider:

For example, there’s one inside the built-in Messaging (A.K.A. texting or SMS) app that it uses to display and search your history. Just because it’s there doesn’t mean you should use it. The Android team isn’t promising that it’ll be the same in the next release or even that it’ll be there in the next release.

  Android 团队不保证在将来的版本中会继续开放这个短信息的 API。

  系统开放是件好事,但让普通用户决定哪些 app 可以获取哪些权限是有点要求过度了。一般人下载 app 可根本不看所谓的权限。就算看也不一定知道连带的后果。尤其是像 Android 菜市场这种没有经过审核就可以发布 app 的平台,用户们尤其要小心下载来路不明的 app。

  当然 SMS 读取权限还只是 Android 开放系统里隐患的冰山一角。另外一些扫描手机文件偷偷上传照片,视频的 app,也是非常容易实现的。所以:用安卓手机有风险,用户需谨慎。


酷毙

雷人

鲜花

鸡蛋

漂亮

相关阅读

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部