Android手机获得ROOT权限出现的安全问题

主页（http://www.175shouji.com）：Android手机获得ROOT权限出现的安全问题

　　【巴士小米频道】网络上超多的教程(甚至还有所谓的“一键ROOT”的方法)，这些教程会让你惊奇的发现，获得ROOT其实不难(当然现在新版的Android2.3以上要ROOT可是不容易了)，我想也不需要再解释何谓ROOT了。在理想的状态下，每个Android玩家做这个步骤之前都应该知道为什麽要取得ROOT，而更重要的是，如何在此之前保存他们手机中的资讯(为什麽备份很重要就是这道理)。

　　但是，说归说，这不是一个理想的世界。我每天都看到很多新手一拿到手机就立刻问该如何ROOT啦，然后再问：获取了ROOT有什麽用?其实我们不能完全责怪这些Android新手，因为很多教程都没有强调刷ROOT可能导致的严重后果，会危及到你手机上设备的安全性。

　　更矛盾的地方是，这些教程都假设手机用户已经具备了一定的技术水准，但往往这些教程在某些论坛却又归类到新手教程!我的观点是，很多用户根本不需要获取ROOT权限!

　　在开始讨论之前，你先问你自己以下2个问题：

　　1.你有几次仔细读过市场里下载的软体或者游戏的使用协定?

　　2.你有几次看了软体使用协定中的权限要求(fullinternet, gpslocation, readcontacts等等)后会问...“为什麽这个游戏需要这些权限呢?

　　你是不是还是照安装不误呢?事实就是如此，绝大多数的Android用户根本不会在意Android程式所要求的这些权限，他们会照安装不误。

　　虽然市场已经通知了Android手机用户软体所需的权限，但其实这远远不够的。因为Android手机用户还是不知道这些权限和安全又什麽关係。一旦你批准了这些软体所要求的权限，你就等于向这些软体敞开了你家的大门。譬如，程式可以随意的将你手机里联繫人的资料发送到他们的伺服器。

　　再举个例子，有些软体本身设计也许没有什麽恶意，但设计的却极其的烂。因为开发者也是人，也会犯错。有时，程式设计人员会选择一个他们认为安全的协议，但实际上却是很危险的。或者他们决定让所有用户使用SINGLESIGNON，但却将用户的SSO资讯在DEBUGGINGCODE中在控制台输出出来。又或者有些恶意软体，可以让别人远端操控清空你的手机，或者将你手机里的资料传送回指定伺服器后再清空你的手机(也许已经有这样的软体了)。

　　我以上所说的这些例子说明，即便是非ROOT权限的程式都有可能很危险(对新手来说)，如果是这样，那些获得ROOT权限的程式呢?

　　好，现在回到我们所要讨论的主题上来。

　　当然，很多MOD的固件已经包括了超级用户程式，但这就够了嘛?和WINDOWS中帐户控制消息或者其他作业系统中类似的程式一样，这个程式只是告诉 Android手机用户当程式需要超级用户权限，但不会(不能?)告诉我们程式需要用这权限来做什麽!!!有多少次，我们会选择“一直允许”(坦白说...我也是)，却不知道这个程式到底要干嘛。我们到底如何能知道呢?大多数人无法知道这些。只能靠别的Android手机用户来告诉我们。或者我们完全信任程式的开发者?但你敢100%信任一个完全没见过面的人?

　　在很多但不是所有情况下，这些程式都是开源的，所以我们可以读它们的代码来评估风险。但...这是一把双面刃，别人也可以在代码中加入后门，冠以”定製版”的大名，堂而皇之进入你的手机。一百个程式中有一个这样的程式，也就够你受的了。但一个恶意的并需要获取ROOT权限的软体到底可以干什麽呢?四个字：任意事情!

　　我和我的朋友讨论了一下，大致上总结出以下几点，恶意软体可能可以干的事情：

　　@将GMAIL换成所谓的“定製版”

　　@将你的输入法更换成有按键记录功能的输入法

　　@将手机里的程式或者资料删除

　　@下载并试图安装修改过的固件

　　@下载特定的程式，可以夜间在后台拨打收费电话号码。

　　@侵入你的市场帐户，并“替你”购买软体。

　　@更多。。。

　　幸运的是，这样的程式还没出现(目前说不定已经出现了)。但愿以后也不会有。很有可能你现在已经开始想了：“天哪，这些东西真吓人。。。”，那麽，身为作者的我也会感到高兴。如果用户能知道乱用ROOT权限的潜在威胁，并时时刻刻牢记这一点，这样可以更好的保护他们自己的设备和资讯。在使用一个软体并信任开发者之前，做一下功课，网上搜索一下。安全起见，也不要在超级用户程式里选择“ALWAYSALLOW”，虽然这样也无法完全保障你设备的安全。其实，有些功能其实完全不应该需要ROOT权限的。譬如，很多Android手机用户取得ROOT权限只是为了添加一些自己的主题。如果Android手机原生就能支援自己添加主题，那很多用户就不需要ROOT了。还有些用户ROOT是为了优化手机使之运行的更快。那为什麽不把这些优化程式直接集成到官方固件中去呢?譬如说因为Android2.1系统以下的储存空间相当有限，我们不得不使用APP2SD将程式安装到SD卡中去。为什麽这个程式就不能集成到官方固件中去呢?让用户时刻牢记安全的重要性。

　　总而言之，你的Android手机是否要ROOT，还是必须三思而后行

更多内容请关注【】