手机通信安全问题日益严峻 百度手机助手来帮忙_安卓资讯_好卓网
手机通信安全问题日益严峻 百度手机助手来帮忙
　　现如今通信安全的问题日益严峻，不仅国家与国家之间会进行&暗战&，就说我们平凡的普通人，每天也面临着意吸费、偷窥用户隐私的应用的威胁。小编还发现，现实中有这种遭遇的人还真不少。
　　家住东城区东花市的程女士日前就向记者抱怨，为了更好地记录家庭开销，程女士下载了一个号称可以进行云端记账的应用。想不到账没怎么记，钱倒是丢失了不少。一个小小的应用，让程女士6月的流量费用高达70多元，而此前其手机包月的流量套餐就足够使用。
　　对此，记者询问了一位业内专家，专家表示根据最新《移动互联网发展趋势报告》显示，在应用市场中，下载量靠前的1000个App，虽然占比不超过应用商店总app数量的0.1%，但是其总下载次数却占到一半以上。&对每一个手机用户来说，比较常用的应用也就10个左右。总会出现一些&不甘寂寞&的应用，走那些旁门左道，希望能够借此获利。&
　　面对潜藏在各处的恶意吸费、偷窥隐私、威胁手机安全的应用，网民应该如何应对?记者尝试在微博、微信、贴吧等多个平台上寻找答案，很多网友都推荐使用&百度手机助手&的软件。网友&青青子衿&表示，&百度品牌比较值得信赖，这款应用也非常简单，注意到百度手机助手的第三方应用都有官方认证、安全认证等标识，让用户可以放心下载，非常适合小白用户的使用。&网友&黑色柳丁&也表示，&百度手机助手不仅下载应用方便快捷，在后续的更新上也非常省流量，每月能为我节省60%左右的流量。这样一来，无论是看电影、刷微博，还是玩游戏、逛淘宝，都可以随心所欲，再也不用担心自己的流量了。&
　　实际体验百度手机助手，打开应用&推荐、软件、游戏、排行&四大板块的清晰成列，可以直接根据偏好进行选择。笔者尝试着下载&百度贴吧&，应用下载页提示&官方、安全、无广告&等标识，保证用户可以放心下载。而有关安全问题，记者了解到，百度手机助手已经联合腾讯、金山等安全厂商，进行严格安全认证过的，提供最安全的环境，有效保证用户下载和使用应用时的安全性，从而免受恶意扣费、强制推广、盗取隐私等威胁。
　　(百度手机助手下载应用更加安全有保障)
　　根据相关的数据显示，在2013年第一季度新增的病毒数就已经达到了去年全年的73.1%，由此可见手机安全面临的巨大挑战有多大，而对于手机上的&防偷防盗防病毒&问题，专家建议称，广大用户一是最好选择有品牌信誉保障的互联网公司的应用更有保证;另外一方面要多借助百度手机助手等工具，从源头上阻击危害手机安全的应用。
分享到其他平台:
相信大家都知道，Android系统是目前用户使用量最多的智能手机系统了。但是，据剑桥大学的研究人员的一项最新调查显示，目前市场上87%的Android设备都存在安全隐患。
可能很多人都不知道，在苹果的旗下，是有一个专业的医疗研究平台的。近日，有消息曝光称，苹果将会在近期推出一个全新的程序，这个程序可以帮助研究自闭症、黑色肿瘤、癫痫等
微信抢红包是现在不少亲友群的娱乐活动，就算红包里的钱不多，抢起来也很有乐趣，能抢到是运气好的象征，那么抢红包有什么技巧，怎么抢最快呢。
现在许多人的生活已经离不开wifi了，要是朋友想要用wifi自己却把wifi密码忘了怎么办呢?今天小编就教大家从已连接的设备查看wifi密码的方法，让你轻轻松松找回自己的wifi密码。
一、ROM 特色 1. 应群机友的建议和帮助，保持官方原貌下增添部分实用APP编译，精致精简714M、【如果喜欢长期使用又简单的机油可以尝试下】 2. 官方10.5.A.0.233最终版本内核基带 3. 增加
一、ROM 特色 1. 移植Z3的有声照片 2. 移植Z3的的AR趣拍 3. 移植Z3的动态镜头 4. 移植Z3的最新相册 5. 移植Z3的超逼真 6. 移植Z3的XReality 7. 移植Z3的媒体声音 8. 移植Z3的主题和壁纸 9. 移植Z3的
装机必备软件
装机必备游戏比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
百度手机卫士“一键求救”解决盲人安全难题
　　你们可否注意过，在身边有这样一群人，他们虽双目失明，无法看到世间的五彩斑斓，却依旧积极地面对生活。但你知道吗，在盲人的世界里，有常人想象不到的枯燥，更有常人想象不到的困难。我们身边就时常会发生盲人意外受伤的例子。
　　《青岛早报》日前报道，盲人刘先生在路边行走，被路上凸起的车位锁绊倒后，右侧肩膀和右腿胯骨受伤，疼痛难忍。刘先生和80多岁的老父亲一起生活，所以没人陪他去医院看病。周围围观的人也没有上前把他扶起来，最后是交警将其送至医院。
　　社会学专家介绍，盲道被占、交通混乱、盲人指示标志缺失等情况在当今社会十分常见，这些都为盲人群体的人身安全带来威胁。同时，保障盲人安全问题的难度很大，这不仅是政府与相关机构的职责，也需要社会各界加强对盲人群体的重视，也需要更多对盲人生活有所帮助的高科技产品出现。
　　目前，市面上已经出现了一些产品，利用高科技的力量，辅助解决盲人安全问题。如卫士在近期推出的7.0版本中，新加入了“一键求救”功能，该功能可以帮助盲人群体在受伤或者危机时刻，用最便捷的方法发出求救信息及地理位置给亲人和朋友，相关人员收到求救信号后，便能够及时施以援手。
　　如媒体所报道的那样，盲人如果在路旁摔倒受伤，却苦于无法看到手机屏幕，无法准确发出求助信号。如果处在陌生的路段会更加麻烦，盲人无法准确地向求助方说明自己的位置所在。但通过百度手机卫士的“一键求救”功能，盲人朋友可以事先让人在手机里设定相关的求救短信内容，如“我受伤了，请来帮我”等。当遇到上述情况时，连续按手机电源键(至少三次)，即可发送设定内容给相应接收者，并自动发送所在地理位置的地图链接。电源按键是手机外体上最显见易摸到的按钮，对于易遇到危险的盲人群体而言，这一操作简捷可行，在危急情况下的帮助也是巨大的。此外，当盲人朋友走丢或遇到其他危险时，“一键求救”功能也可发挥作用。
　　社会学专家表示，利用互联网高科技等手段解决盲人朋友安全出行问题是智慧之举，也体现了的社会责任感，百度手机卫士做了这样的尝试，是为更多的科技公司做出表率，希望企业们能够为社会中需要帮助的人创造出更多助益的产品，以此不断改善人们的生活环境。
相关文章：
[ 责任编辑：小光 ]
新经济、新业态环境下，数据量呈…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte手机银行https证书有效性验证引发的安全问题 - 网络安全 - 红黑联盟
手机银行https证书有效性验证引发的安全问题
在实际项目代码审计中发现，目前很多手机银行虽然使用了https通信方式，但是只是简单的调用而已，并未对SSL证书有效性做验证。在攻击者看来，这种漏洞让https形同虚设，可以轻易获取手机用户的明文通信信息。
手机银行开发人员在开发过程中为了解决ssl证书报错的问题（使用了自己生成了证书后，客户端发现证书无法与系统可信根CA形成信任链，出现了 CertificateException等异常。），会在客户端代码中信任客户端中所有证书的方式：
public static HttpClient getWapHttpClient() {
KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null, null);
SSLSocketFactory sf = new MySSLSocketFactory(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
//此处信任手机中的所有证书，包括用户安装的第三方证书
HttpParams params = new BasicHttpParams();
HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);
SchemeRegistry registry = new SchemeRegistry();
registry.register(new Scheme(&http&, PlainSocketFactory.getSocketFactory(), 80));
registry.register(new Scheme(&https&, sf, 443));
ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);
return new DefaultHttpClient(ccm, params);
} catch (Exception e) {
return new DefaultHttpClient();
而在客户端中覆盖google默认的证书检查机制（X509TrustManager），并且在代码中无任何校验SSL证书有效性相关代码：
public class MySSLSocketFactory extends SSLSocketFactory {
SSLContext sslContext = SSLContext.getInstance(&TLS&);
public MySSLSocketFactory(KeyStore truststore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
super(truststore);
TrustManager tm = new X509TrustManager() {
public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
//客户端并未对SSL证书的有效性进行校验，并且使用了自定义方法的方式覆盖android自带的校验方法
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
public X509Certificate[] getAcceptedIssuers() {
sslContext.init(null, new TrustManager[] { tm }, null);
问题出来了：
如果用户手机中安装了一个恶意证书，那么就可以通过中间人攻击的方式进行窃听用户通信以及修改request或者response中的数据。
手机银行中间人攻击过程：
1 客户端在启动时，传输数据之前需要客户端与服务端之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。
2 中间人在此过程中将客户端请求服务器的握手信息拦截后，模拟客户端请求给服务器（将自己支持的一套加密规则发送给服务器），服务器会从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给客户端。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
3 而此时中间人会拦截下服务端返回给客户端的证书信息，并替换成自己的证书信息。
4 客户端得到中间人的response后，会选择以中间人的证书进行加密数据传输。
5 中间人在得到客户端的请求数据后，以自己的证书进行解密。
6 在经过窃听或者是修改请求数据后，再模拟客户端加密请求数据传给服务端。就此完成整个中间人攻击的过程。
以fiddler工具模拟中间人攻击为例：
1 首先在手机中装入fiddler根证书：
导出fiddler的根证书：
将fiddler根证书放入手机的SD卡中，然后在手机设置-安全中选择从SD卡中安装证书：
成功安装fiddler根证书到手机上：
2 在PC端打开fiddler，将手机通信代理到PC端fiddler所监听的端口上（可以在wifi中的高级设置中设置代理），这样手机银行的所有通信均会被fiddler监听到。
3 启动手机银行客户端，会在fiddler中查看到所有请求的明文数据，并且可以进行修改后转发，成功将https加密绕过。
防护办法：
使用CA机构颁发证书的方式可行，但是如果与实际情况相结合来看的话，时间和成本太高，所以目前很少有用此办法来做。由于手机银行服务器其实是固定的，所以证书也是固定的，可以使用&证书或公钥锁定&的办法来防护证书有效性未作验证的问题。
具体实现：
1 公钥锁定将证书公钥写入客户端apk中，https通信时检查服务端传输时证书公钥与apk中是否一致。
public final class PubKeyManager implements X509TrustManager{private static String PUB_KEY = &df70d0101&P +&0fea8adaf4cb6dbc85&P +&5a545b1f0cc8afb19e38213bac4d55c3f2f19df6dee82ead67f70abc& +&ac1a9116acc97c8eaaae8e&P +&2cbf66e8e229eacf23df0fe72b6ceef457eba0b5b8&P +&ddceba4f7a7dcceb7ab2a6b60c27c635f50&P +&c6317e5dbfb9d1eb7bfe0d5dada7700b00&P +
&ad179a9c111b4ef7be53ea&P +
&cf60d2f4fda4d1cd52f1da9fd55cd7b328b53147b& +
&e0b7a5bcf10d723ce7eed1&P;
//锁定证书公钥在apk中
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException
if (chain == null) {
throw new IllegalArgumentException(&checkServerTrusted: X509Certificate array is null&);
if (!(chain.length & 0)) {
throw new IllegalArgumentException(&checkServerTrusted: X509Certificate is empty&);
if (!(null != authType && authType.equalsIgnoreCase(&RSA&))) {
throw new CertificateException(&checkServerTrusted: AuthType is not RSA&);
// Perform customary SSL/TLS checks
TrustManagerFactory tmf = TrustManagerFactory.getInstance(&X509&P);
tmf.init((KeyStore) null);
for (TrustManager trustManager : tmf.getTrustManagers()) {
((X509TrustManager) trustManager).checkServerTrusted(chain, authType);
} catch (Exception e) {
throw new CertificateException(e);
// Hack ahead: BigInteger and toString(). We know a DER encoded Public Key begins
// with 0&30 (ASN.1 SEQUENCE and CONSTRUCTED), so there is no leading 0&00 to drop.
RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();
String encoded = new BigInteger(1 /* positive */, pubkey.getEncoded()).toString(16);
// Pin it!
final boolean expected = PUB_KEY.equalsIgnoreCase(encoded);
if (!expected) {
throw new CertificateException(&checkServerTrusted: Expected public key: &
+ PUB_KEY + &, got public key:& + encoded);
2 证书锁定：
即为客户端颁发公钥证书存放在手机客户端中，在https通信时，在客户端代码中固定去取证书信息，不是从服务端中获取。
关于证书或公钥锁定技术可参考下面链接：
https://www.ow.org/index.php/Certificate_and_Public_Key_Pinning　　文/搜狐IT 国仁
　　安全已经成了经常被提起的话题，不过一直有一个争议，手机系统是否真的如之前PC系统一样易于被攻破？并有成千上万的攻击方式？
　　从现在暴漏的一些安全问题看，这个争议其实很好回答，智能手机所面临的安全问题其实同PC时代完全不同，PC时代的电脑安全隐患有多种：
　　一、电脑被远程控制，成为执行任务的“肉鸡”。
　　二、用户数据被窃取，邮件、浏览记录、文件等等。
　　三、用户电脑遭到破坏，自损等攻击命令等等。
　　但智能手机的安全问题集中在“数据”的安全上，目前看到的有两类：
　　一类为通过软件获取手机权限后，得到用户手机的个人数据访问权限，这是目前最常见的手机个人信息被获取的方式，而且几乎是半公开的。
　　比如一款软件要获取你的联系人、位置信息或者图片库信息，很多时候，这种情况无法避免，为了使用正常功能，只能同意，而数据的安全性则完全靠软件公司信誉。基于这一点，智能手机的数据安全性就很难得到保证。
　　第二类则是数据的被动获取，最近有两个例子非常耸人听闻：
　　1个是棱镜门爆料者斯诺登说，iPhone在关机状态下也能被监听。这一说法还得到了硬件工程师的认同，美国国安局的这种技术implant可以在iPhone看似关机的状态下，让基带继续保持活跃，通过窃听。
　　2个是安全软件商Avast的爆料，称通过简单数据操作可以将Android手机的个人数据进行恢复，包括照片、邮件、联系人等关键数据。
　　Avast的爆料不无目的，是想推销其数据恢复软件和安全软件，但也确实曝出了Android系统一直潜在的危险。其实要获取Android系统的数据可能比Avast的说法还简单，特别是当用户使用microSD卡扩展手机存储时，拿出存储卡用普通数据恢复软件就能恢复用户数据。
　　一直以来，Android系统在安全性上就有很大的差距，比如没有像iOS一样有单个应用数据的沙漏逻辑进行区隔，在应用权限管理上也比较随意等等。
　　所以智能手机的安全性虽然与PC数据安全有很大不同，但就像一层易破的窗户纸，一捅就破。
　　手机安全的保障不像PC安全用、安全软件来防范，更多的是在使用习惯上进行主动的防范，比如在这些方面：
　　1、不必要的数据及时删除。
&& 2、当有软件获取数据授权时，慎重考虑。
&& 3、手机二手出售或丢弃不用时，除了格式化，可以用彻底格式化的软件进行进一步的彻底清除。
&& 4、手机长设密码屏保。
　　至于安全软件的使用，则要根据需要选择安装，并且要选择公司信誉好的品牌，否则安全软件可能也会是引狼入室。
(责任编辑：余瀚洋)
&&&&&&</div
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
社区热帖推荐
长相实在是太像了……[]
客服热线：86-10-
客服邮箱：}