TGFC Lifestyle - Powered by Discuz! Board

标题: 业内人士说下，安卓源代码是不是安全，没有被美国利用 [打印本页]

作者: fatehe 时间: 2014-6-4 08:59 标题: 业内人士说下，安卓源代码是不是安全，没有被美国利用

是不是安卓代码都被各大厂家摸透了，于是使用安卓4.2内核的中兴华为，就不怕美国的后门了吧？

作者: jinyibo 时间: 2014-6-4 09:00

有没有，估计是有，但手机还得卖，还得赚钱

作者: 万能侠 时间: 2014-6-4 09:01

posted by wap, platform: 小米 (MI 3)

我不知道美国人是不是拿到我们的隐私，但是国内各大流氓公司肯定是拿到了

作者: 女武神 时间: 2014-6-4 09:01

谷歌微软苹果都参与就欺负谷歌而已后2者没法动

作者: fatehe 时间: 2014-6-4 09:04

业内不是说安卓代码是开放的，随便看，然后说什么如果有后门，码农一定会跳起来么？

作者: Mozi 时间: 2014-6-4 09:16

posted by wap, platform: Galaxy Nexus

摸透個雞巴。連truecrypt openssl這種所有人都在用要命的東西都沒audit完，國內哪個公司說我有這個本錢去檢查akop代碼？更不用說下面內核了。

作者: Shaz 时间: 2014-6-4 09:43

posted by wap, platform: Chrome

都不安全，NSA已经盯上你了LZ

作者: catxing 时间: 2014-6-4 09:50

posted by wap, platform: ZTE (N986)

引用:

原帖由 @fatehe 于 2014-6-4 09:04 发表
业内不是说安卓代码是开放的，随便看，然后说什么如果有后门，码农一定会跳起来么？

你以为审查代码像审黄员审一部片子一样从头到尾看一遍看看有没有露点那么简单吗？

这么说吧，要组织一次对安卓源代码的审计，基本上和组织一次对《新华词典》的修馔差不多，需要汉语界的泰斗人物，投入巨大资金和时间，对《新华词典》里面每一个典故，每一个解释，进行分析和验证，最后得出结论说没问题。

以此类推，国内普通码农们能挑出开源的安卓源代码里面的刺的概率，和你能纠正书架上随便翻的《新华词典》里面错误的概率差不多。

作者: chronicle1st 时间: 2014-6-4 09:58

posted by wap, platform: ZTE (U956)

引用:

原帖由 @catxing 于 2014-6-4 09:50 发表
posted by wap, platform: ZTE (N986)

你以为审查代码像审黄员审一部片子一样从头到尾看一遍看看有没有露点那么简单吗？

这么说吧，要组织一次对安卓源代码的审计，基本上和组织一次对《新华词典》的修馔差不多，需要汉语界的泰斗人物，投入巨大资金和时间，对《新华词典》里面每一个典故，每一个解释，进行分析和验证，最后得出结论说没问题。

以此类推，国内普通码农们能挑出开源的安卓源代码里面的刺的概率，和你能纠正书架上随便翻的《新华词典》里面错误的概率差不多。

那linux呢？

作者: 好人传说 时间: 2014-6-4 10:01

关键不是源代码，而是大数据。当然要分析谷歌肯定能分析而且正在分析，不过封杀这些都是借口。。。。。

作者: kirbyx 时间: 2014-6-4 10:05

引用:

原帖由 catxing 于 2014-6-4 09:50 发表
posted by wap, platform: ZTE (N986)

你以为审查代码像审黄员审一部片子一样从头到尾看一遍看看有没有露点那么简单吗？

这么说吧，要组织一次对安卓源代码的审计，基本上和组织一次对《新华词典》的修馔差不多， ...

这不应该是方校长他们的本职工作么？

作者: catxing 时间: 2014-6-4 10:06

posted by wap, platform: ZTE (N986)

引用:

原帖由 @chronicle1st 于 2014-6-4 09:58 发表
posted by wap, platform: ZTE (U956)

那linux呢？

Android是《新华词典》的话，Linux大概相当于《康熙字典》吧

作者: tonyunreal 时间: 2014-6-4 10:07

部分开源、绝大部分开源和完全彻底开源是不一样的
连Linux都做不到彻底开源，更不要说Android这样开源和闭源混用的了

作者: ppst 时间: 2014-6-4 10:17

posted by wap, platform: Chrome

都研究UI这类的，了不起研究下硬件驱动。。。

作者: 黑暗骑士巫妖王 时间: 2014-6-4 10:18

posted by wap, platform: Chrome

开源的优势在于好学习、好打补丁之类的，并不是要你去啃一边源代码。你想既然国家都很难啃一次，黑客谁要去啃那些天书啊？

漏洞的发现大部分又不是翻阅源代码翻出来的（能翻源代码翻出漏洞的，一般都是开发者自己或者相关维护人员啦）。

作者: 阿喀牛斯 时间: 2014-6-4 10:45

你要说有没有直接的后门代码，可以说没有。但你要问有没有漏洞，不管是恶意漏洞还是无意漏洞，这个都没有人可以保证。

即使审计，也要看运气和时间，你无法确定你是否真的已经排除了所有漏洞，如果是开发者要植入漏洞，并且在一长段时间内不被发现，并不是一件难事。

比如OpenSSL这次心脏流血，特定条件下出现过渡读取，在安全公司查出问题之前，是没有人会认为OpenSSL有重大安全问题的。

作者: fatehe 时间: 2014-6-4 10:47

引用:

原帖由 Mozi 于 2014-6-4 09:16 发表
posted by wap, platform: Galaxy Nexus

摸透個雞巴。連truecrypt openssl這種所有人都在用要命的東西都沒audit完，國內哪個公司說我有這個本錢去檢查akop代碼？更不用說下面內核了。

不是吧，那禁止google，不禁止华为中兴继续生产安卓手机有什么意思呢？

现在国产手机老鼓吹自己什么什么云系统，但是本质上还是安卓的4.X内核，只是加了个UI而已。国家是不是脑残啊。

作者: 总是注册不成功 时间: 2014-6-4 10:54

posted by wap, platform: Chrome

除了Hello world，没有什么代码是安全的。

作者: sig1b 时间: 2014-6-4 10:59

硬件和软件都有系统保留接口，查神马？

作者: banditcat 时间: 2014-6-4 11:09

posted by wap, platform: iOS

能检查linux内核的大牛不多

作者: fatehe 时间: 2014-6-4 11:10

引用:

原帖由 sig1b 于 2014-6-4 10:59 发表
硬件和软件都有系统保留接口，查神马？

查会不会在特定情况下，自动上传位置、信息、个人资料等啊，甚至自动窃听。

在牛逼一点，美国遥控手机电池爆炸。

作者: sig1b 时间: 2014-6-4 11:29

引用:

原帖由 fatehe 于 2014-6-4 11:10 发表

查会不会在特定情况下，自动上传位置、信息、个人资料等啊，甚至自动窃听。

在牛逼一点，美国遥控手机电池爆炸。

我的意思是只要有系统保留的接口存在，通过这些接口干什么，明摆着的。

作者: 卖哥 时间: 2014-6-4 11:35

posted by wap, platform: Galaxy Nexus

这么大规模的系统必然是漏洞遍布的，你如何判断这个漏洞是不小心搞出来的一直没人知道的，还是故意留下的从一开始就在被利用的？

作者: soloyu 时间: 2014-6-4 11:38

posted by wap, platform: UC

厂家会自己加后门，比如mtk

作者: Kuzuryuusen 时间: 2014-6-4 11:47

posted by wap

漏洞肯定是有的。开源至少敞开让你随便翻，找不找得到凭本事。闭源的甚至不然你看呢。

作者: catxing 时间: 2014-6-4 12:14

posted by wap, platform: ZTE (N986)

引用:

原帖由 @fatehe 于 2014-6-4 11:10 发表
查会不会在特定情况下，自动上传位置、信息、个人资料等啊，甚至自动窃听。

在牛逼一点，美国遥控手机电池爆炸。

楼主，你对信息安全的理解实在太过简单粗暴，差不多还停留在农村械斗的层次，要给你描述怎么商斗太难。

你说的这些android的源代码里面是肯定不会直接提供的，因为太容易被发现然后身败名裂了。如果Android想要作恶，它不用自己作，完全只要留点缝隙方便他人利用就可以了。

真正信息安全的攻防，肯定会让你在第一次听说的时候拍案称绝，连呼“这TM都想得出来”。

我举个例子，Android如此容易被root，你很难说清楚这是不是google故意的。要从一个被root的手机上窃取信息简直太容易了，随便诱导你装个什么app甚至在你把手机连电脑的时候自动adb一个app进去，根本不需要在Android系统本身里面搞什么后门。

本帖最后由 catxing 于 2014-6-4 12:21 通过手机版编辑

作者: ffcactus 时间: 2014-6-4 12:21

用安卓还考虑这些？自己那点APP的安全都应付不过来了吧。。。

作者: 大泉凉 时间: 2014-6-4 12:38

posted by wap, platform: GOOGLE (Nexus 5)

讲真，你有什么事是腾讯不知道的？

政府是怕国家机密泄露，咱这些屁民怕个毛啊，连本国政府都不稀得搭理你，还怕美国对你怎样？

倒是平时注意点别乱填各种会员表，电话号码别随便往外传，能少很多骚扰是真的。

作者: 腻水染花腥 时间: 2014-6-4 12:39

首先android不是完全开源，这个是由unix本身决定的，多数人接触不到核心代码，而且漏洞往往不会做在核心代码里面

然后是代码审查，像IOS和android这种级别的项目都有自动自我审查，但这种机制充其量可能只是滤个百分之多少不等，其余的审查要靠人工，人没那个闲心

并且，排除掉疏忽技术型漏洞如openssl，md5，人为型漏洞一般都会做在最外层，以一种app或者插件的形式出现，做的光明正大，做的不像一个漏洞，比如360之流，在你同意的情况下，在系统权限许可的情况下，正大光明的接管你的信息，省事，高效

当代的信息安全的核心是渗透而不是破坏，是读而不是写，让XX爆炸或者远程抹除之类这都是下三滥的招数，这种操作结果换不来一毛钱的收益

作者: fatehe 时间: 2014-6-4 12:41

posted by wap, platform: iPhone

引用:

原帖由 @catxing 于 2014-6-4 12:14 发表
posted by wap, platform: ZTE (N986)

楼主，你对信息安全的理解实在太过简单粗暴，差不多还停留在农村械斗的层次，要给你描述怎么商斗太难。

你说的这些android的源代码里面是肯定不会直接提供的，因为太容易被发现然后身败名裂了。如果Android想要作恶，它不用自己作，完全只要留点缝隙方便他人利用就可以了。

真正信息安全的攻防，肯定会让你在第一次听说的时候拍案称绝，连呼“这TM都想得出来”。

我举个例子，Android如此容易被root，你很难说清楚这是不是google故意的。要从一个被root的手机上窃取信息简直太容易了，随便诱导你装个什么app甚至在你把手机连电脑的时候自动adb一个app进去，根本不需要在Android系统本身里面搞什么后门。

本帖最后由 catxing 于 201464 12:21 通过手机版编辑

是否不root就安全呢

作者: 去日留痕 时间: 2014-6-4 12:42

posted by wap, platform: iPhone

引用:

原帖由 @万能侠于 2014-6-4 09:01 发表
posted by wap, platform: 小米 (MI 3)

我不知道美国人是不是拿到我们的隐私，但是国内各大流氓公司肯定是拿到了

这个再理。擦国内流氓企业一百遍啊一百遍！！

作者: 阿喀牛斯 时间: 2014-6-4 12:52

引用:

原帖由 fatehe 于 2014-6-4 12:41 发表
posted by wap, platform: iPhone

是否不root就安全呢

普通用户不用考虑这种安全问题，每一条漏洞都价值上百万美元，不会有人冒着暴露漏洞的可能性，来换取你的小信息。

而且考虑这种问题有用吗？搜狗，百度输入法明着和你说了，你用我的输入法就要上传你的所有联系人电话号码，你用还是不用？信用卡账单拖取软件，连你的邮箱密码都敢明着要，很多人还乐此不疲的给，有必要用什么漏洞么？

作者: banditcat 时间: 2014-6-4 15:51

posted by wap, platform: iOS

引用:

原帖由 @腻水染花腥于 2014-6-4 12:39 发表
首先android不是完全开源，这个是由unix本身决定的，多数人接触不到核心代码，而且漏洞往往不会做在核心代码里面

然后是代码审查，像IOS和android这种级别的项目都有自动自我审查，但这种机制充其量可能只是滤个百分之多少不等，其余的审查要靠人工，人没那个闲心

并且，排除掉疏忽技术型漏洞如openssl，md5，人为型漏洞一般都会做在最外层，以一种app或者插件的形式出现，做的光明正大，做的不像一个漏洞，比如360之流，在你同意的情况下，在系统权限许可的情况下，正大光明的接管你的信息，省事，高效

当代的信息安全的核心是渗透而不是破坏，是读而不是写，让XX爆炸或者远程抹除之类这都是下三滥的招数，这种操作结果换不来一毛钱的收益

linux

作者: 黑暗骑士巫妖王 时间: 2014-6-4 16:17

posted by wap, platform: Chrome

引用:

原帖由 @fatehe 于 2014-6-4 12:41 发表
posted by wap, platform: iPhone

是否不root就安全呢

其实Root也并非不安全，Root只是说你可以允许APP以系统管理员的权限运行，这个APP是否能以这个权限运行还是要通过你的认可的。

像国外XDA社区开源的一些APP要求Root权限还是可信的，但是自己在国内各种BBS下载了被修改后的APP那谁也没法帮你了。

所以关键还是要有个良好的习惯。很多人啥也不懂买来手机就先刷机、ROOT、上国内各种软件源下APK，这就是No Zuo No Die不是？

你用Play市场的玩意，Google自己自带了危险APP扫描，发现有问题的自动跟你删了，就算有危险软件发布在Play市场上，也不会存活太长时间，极小有几率中招，而且就算你装了也会自动给你删干净。

最后再说一句，Windows这么不安全的系统，病毒和木马最多，但是也是目前最多发生支付交易的平台，那帮子用XP的难道就不上网购物了？难道就挂了？

本帖最后由黑暗骑士巫妖王于 2014-6-4 16:19 通过手机版编辑

作者: fatehe 时间: 2014-6-4 16:37 标题: 回复 34# 的帖子

如果不root，后台一堆软件自启动运行，好心烦，又耗电，是不是。

作者: 阿喀牛斯 时间: 2014-6-4 16:40

引用:

原帖由 fatehe 于 2014-6-4 16:37 发表
如果不root，后台一堆软件自启动运行，好心烦，又耗电，是不是。

都是惯的，国内软件厂商张嘴就要你的所有信息所有权限，还要自启，你爱用不用。喂大了这群白眼狼，现在没的选了。

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)