从女神手机被盗号，聊聊移动安全我们的更该关注什么？
故事开始的地方
随着互联网进程的加速，移动互联网作为互联网的新生代载体，充斥在我们工作和生活的方方面面。但这个领域的安全却很少被人提及，显得有一些神秘。一方面随着Root和特殊定制的移动设备越来越多，加上某些平台不允许对App进行加壳等保护，移动端的安全问题日益加剧。黑客和不法份子在几天甚至几小时内便可攻破App，获取甚至篡改数据；另一个方面，App作者花重金打造的资源文件（图片、音频、视频等）被盗用，出现在其他未授权的场景。因此端安全的问题也逐渐被大家提上日程。
安全案例（转自droidsec 有改动）
某IT男一直暗恋部门某女神，一天女神手机太卡了找IT男帮助清理手机空间，IT男高兴地答应女神两分钟搞定，屁颠屁颠的跑到自己电脑旁边连上手机，女神在一边呆呆的看着IT男敲了几行代码然后在手机上点了几下，最后果然两分钟不到就搞定了，在女神谢着离开后，IT男露出了WS的笑容。
没错，他成功了盗到了女神的帐号，终于不用问同事女神的帐号是多少了~当然这不是结局，一天晚上睡觉时，他看了女神的私信后心突然碎了。
到底发生了什么，这背后有啥不可告人的秘密？且看本文详细分析。
0x1 漏洞背景
在谷歌2010年发布Android 2.2 Froyo (冻酸奶)系统中，谷歌引入一个了系统备份的功能，允许用户备份系统应用和第三方应用的apk安装包和应用数据，以便在刷机或者数据丢失后恢复应用。第三方应用开发者需要在应用的AndroidManifest.xml文件中配置allowBackup标志(默认为true)来设置应用数据是否能被备份或恢复。
当这个标志被设置为true时应用程序数据可以在手机未获取ROOT的情况下通过adb调试工具来备份和恢复，这就允许恶意攻击者在接触用户手机的情况下在短时间内启动手机USB调试功能来窃取那些能够受到AllowBackup漏洞影响的应用的数据，造成用户隐私泄露甚至财产损失。
使用反编绎工具JEB查看客户端manifest配置：
在之前的案例正是因为安卓客户端(最新版)AndroidManifest.xml并没有配置android:allowBackup=“false”，导致女神手机中的客户端数据可以在短时间内通过ADB调试备份到电脑中最后恢复到IT男手机，然后IT男以后每天就可以用女神的帐号看女神发了啥私信内容。
0x2 故事的后续
当然可利用的场景当然不止于此，想想，如果存在漏洞的是团购应用呢（看看有啥团购券我先来用吧），对了连通讯录，社交和理财应用也不能放过（女神们还敢把手机给IT男清理不）。
0x3 后续的后续
对于端和安全，大家有什么想聊聊的呢？
淘公仔 x 3
虾米VIP季卡 x 2
优酷VIP季卡 x 1
获奖情况：
按默认排序
按时间排序
楼上认为少要点用户信息和手机应用权限少点还是安全的，特别是别ROOT。但是现在的安卓手机，部ROOT的话里面的自带APP还真是令人讨厌，尤其是那些开机自启动的。
我自己的手机是必须要ROOT的，而且每隔几个月都得更换或者重置一次系统，就怕有信息泄漏的风险。
话说回来，手机权限和安全其实很多时候是矛盾的。开权限吧获取隐私信息的几率会增大，不开吧，很多时候又不方便。借这个话题，想问问专家，手机该怎么用才安全？？？准备弃用的手机又该怎么做才能确保里面的信息不会被泄漏出去呢？？？
据说格式化的手机仍能恢复数据。
不懂技术啊，随便聊聊。个人觉得安全是相对而言的，没有100%的安全，只有如何做相对更安全一些。安全这事儿，有安全工具、安全服务固然是好的，但同时也需要每个人提高安全意识。尽量从正规渠道获取信息，少用不知出处的软件或APP。还有...就是不要相信程序猿，哈哈！
最后一句话亮了，为你的安全意识点赞！
分享一下我的做法吧，欢迎大家拍砖。手机存储卡和手机卡拔除后，首先恢复出厂设置，然后连接电脑，往手机里写无用的数据写满（一定要写满）。最后再恢复出厂设置一次。这样基本靠还原数据来窥探你的信息就可以堵住。
烧了 最直接 哈哈
重复写入一次，再被恢复的话就是恢复出来第二次写入的东西了是吧~谢谢大神分享。
你居然敢不相信程序猿？
阿里云服务器密码好破解吗？
阿里云服务器密码好破解吗？如果被别人破解怎么才能查出元凶？急，谢谢！
首先你可以查查服务器的登录日志，如果没有线索的话建议提交一个工单，让售后和安全的同学帮您一起查询。
android客户端安全，在4.4之前，可利用的漏洞很多，如短信验证码获取，Android源程序漏洞，JS等。在进入5.0后，获取短信验证码进行了加强，其安全性有一定的加强，各种木马，病毒要运行成功，需要一定的条件，尤其是各种手机厂商，如华为对获取手机验证码进行了限制。所以如今对于客户端的安全进入了数据时代，有数据就可以对数据进行大数据分析，利用图数据库进行反欺诈分析，单纯依靠挖掘Android原生漏洞，不是没有可能，只是现在的电信欺骗案例，大多是针对于社会工程学的欺诈。因此，如果利用大数据技术进行反欺诈分析，效果要比挖掘客户端的漏洞要好多。另一方面，Android应用程序一般都经历过混淆加密，再者进行了加固程序，即使破解了加固，也要看得懂混淆的代码，所以在客户端上进行攻击有一定的难度。因此我总结在移动客户端上的安全问题，总体上是对用户数据的分析，通过分析用户的行为特征，分析其社交网络行为，利用图数据库技术，大数据技术，就可以知道此用户的特征了。
安全加固可以提高攻击的门槛，基于大数据的业务风控才是安全的大招！
现在网络越来越发达，云端、网络端，，，，各种终端，而和我们生活最接近的就是移动端，安卓机器由于本身特点，使用一段时间就容易卡慢，这时候需要维修清理，对不懂智能设备的人来说就很危险了。所以程序猿们绞尽脑汁想增加安全机制，但治标不治本啊，如果每个人都稍微懂点智能设备的知识，加上有点警觉性，那上当的几率就会大大减少啊，这时候大牛们有想法的可以分享一下智能设备的相关知识嘛
为你的安全意识点赞！
专家，您打赏的东西，我为啥不能提交我的地址信息啊？？
现在的网络信息安全问题不容忽视，尤其是移动设备的信息安全泄漏问题尤为严重，所以我们要管好自己的个人信息不被泄漏就首先要管好自己的手机，未知链接不要乱点，不要随便连接不安全的公共wifi，还有最重要的一点是要把手机APP的隐私权限全部禁止。
基于wifi的攻击越来越多，用未知wifi千万要小心。
APP问题很多的，第一个分析程序可以看到一些APP的信息，然后抓包分析上传，通过一些信息的收集进行端口、目录、robots、弱口令、旁站、等方式拿到普通或者管理后台进一步提权，从这里首先就是APP自身安全问题和使用的安全协议，其次是对内部和外部密码授权的安全验证，以及登录界面的验证和跨目录的验证不能仅仅JS就行了，有的手机还偷偷上传什么缓存这些COOKIE这些玩意被整有的也出现过，即使你设置了内网IP访问也是可以绕过，这些就需要技术人员去解决了。我自身感觉少要点用户信息和手机应用权限少点还是安全的，特别是别ROOT。
所以装APP的时候看清楚权限也很重要。另外APP自身应该做一些技术处理，防止黑客通过简单手法窥探内部信息。
目前主要还是个人安全意识。普及一下常见的安全隐患。有相当多的一部分使用苹果手机的人不清楚苹果账户的重要性，甚至购买手机后一直使用买家的账户。长期不修改密码，以及密码设置简单导致被黑客利用，后来被远程锁定。这种案例相当多，尤其在国内。无线端的密码验证会逐渐被生物识别所取代。传统依靠字符串加密解密的方式解密的方式本身就存在漏洞。生物识别的唯一性，不可复制性，大大提高了加密的安全性。现在人脸识别验证和指纹识别验证是最好的实现方式之一。主要还是应该有统一管理认证各种账户的机制。每人在所有的网站和应用共用一套认证方式。生物识别的信息作为私钥，将身份信息作为公钥，登录验证需要配对验证。另外个人不认为安卓系统如其他人说的那么不安全。安卓root后是把双刃剑，自己用的好绝对的有利。本人从接触计算机至今在个人电脑上没有使用过任何杀毒软件。包括现在win10自带的杀毒工具，我都会把它禁用了。就这样，一直没有发生过任何安全问题。只要安全意识高一点，做好隐私保护，管理好自己的账户体系，安全问题也会减少。除非网站拖库这种严重事件发生，我们作为用户是不可避免的。
想知道故事接下来怎么样了
女神换了iphone7～～～
发生什么事，太复杂搞不懂
可以期待一下哦～～我借这里打个广告 =ω=
我是一名移动端开发者，android
ios 都熟悉。这几年谷歌，苹果，公司对安全有这前所未有的提高，但都是从技术方面考虑的，比如权限更严谨等。但在这个互联网时代，很多人的思想还是比较落后的，对手机安全操作。完全是一张白纸。没有半点危机感！比如，密码简单，轻易安装流氓软件，轻易打开木马脚本。。。。
提升用户的安全意识是需要教育成本的，非短时间可为也。但是作为一名开发者，能将眼见的安全做好那也是极好的！
另外楼主的这个也真坑，除非设置应用不能访问，不然我要是可以读取信息直接取证就好了，啥都有了
其实稍微加密处理一下就可以收到比较好的效果，特别是和机器指纹一起关联。这样就没办法简单复制获取数据了。
我就一屌丝，窃取就窃取吧。没钱没长相更没老婆。
梦想还是要有的，万一实现了呢！
除非解决app不允许就不能用的霸王条款问题
任何事物都有两方面性，加密太深使用不方面，使用方方便然后安全破解又太容易
女神手机被盗号，管不管女神了，信息泄露在今天很常见。其实现在很多手机app信息传输仍使用http。http明文协议的缺陷是导致数据泄露、数据篡改等的重要原因。现在很多公共场所都会开放wifi供用户使用，但是这些wifi是否安全？实际上很多人都不会在意，发生在咖啡厅等场所信息随意窃取事件屡屡发生，在公共wifi下手机等联网设备的安全风险很高，尤其是取得最高权限的安卓手机。现在通过年轻手机用户基本也不太注意信息安全，何况是父母辈的用户呢？这一点是很头疼的，本来信息的发展带来的便捷舒适是值得父母去享受的。比如我妈，从反感大屏智能机到现在能熟练的使用微信聊天、发红包等，为了和好友玩红包还特地绑定了银行卡。转转鲤鱼等就比较合理了，但是我担心的是有些莫名携带钓鱼链接的短信。信息时代安全意识的培养特别重要，用户层面至关重要，如同父母讲在外最好不连接公共wifi和短信验证码的重要性等。再说开发者层面，“互联网上的一切都应该默认被加密”，来自Jeff Atwood的观点。现在全世界网联网开发者都趋于使用https，加入了SSL/TLS协议的https将实现互联网加密可信的访问。希望之后https使用的普及能有效降低信息泄漏风险吧。
不root保持手机应有的安全性别老想着ROOT后感觉很高科技一样不熟悉就不要做这些事情
安卓系统根深蒂固的问题。安卓存在一天，这个问题就有一天。
根源无法改善的情况下那就在传输层面多做安全把控和垃圾过滤吧.整个网络环境都充满了危险.网络套路深...这个世界最干净的网络环境应该在曹县了吧.
把自己信息保密
能否远程操控锁定手机？
这个还真可以?
但是这个功能才做起来有很多的限制，比如没网了怎么办？
现在才知道，手机好不安全哦。
登录后可参与话题，请
阿里云云盾安全专家，主要关注网络安全、二进制安全、IoT安全等领域。目前主要负责攻防解决方案定制，致力于为客户打造安全舒适的云环境。
阿里云移动APP解决方案，助力开发者轻松应对移动app中随时可能出现的用户数量的爆发式增长、复杂的移动安全挑战等...
基于阿里聚安全的核心技术，为移动应用（APP）提供全生命周期的安全服务，其能够准确发现应用的安全漏洞，恶意代码，...
基于大数据的移动云服务。帮助App快速集成移动推送的功能，在实现高效、精确、实时的移动推送的同时，极大地降低了开...
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本...我的女神呆呆
终于开始用手绘板了，还是有很多的不适应，但是感觉好棒哦。。。呆呆现在是我的缪斯咯！
打开微信“扫一扫”，将本文章分享到朋友圈
快给朋友分享吧！
Ctrl+Enter
你的打赏就是我的动力！
悄悄说，听说打赏的人收入都比我高，不信你试试。
注: 打赏金额随意，完成后，请手动关闭本窗口。
Ctrl+Enter
您将要删除您的普通推荐大作
我的女神呆呆
在她入驻到UI中国的日子里
总共吸引了263位设计师的驻足流连
总共收获了1位设计师的由衷赞赏
总共获得了0位设计师的悉心珍藏
总共引起了0位设计师的深入讨论
依然要删除吗？呆呆有几个系列_百度知道
呆呆有几个系列
我有更好的答案
我这有四套8视频
几个系列啊一共
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。(荒野之树)
(远古锋尘)
(一夜暴富)
(远古锋尘)
第三方登录：hello女神链接谁有_hello女神吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：60,013贴子：
hello女神链接谁有
哪位有，发一下链接
一去贴吧深似海，从此节操喂度娘。
hello女神链接：[有效]
密码：h4q2
怎么看不了？
可以重新分享一下吗
现在谁还有资源，跪求！
能再发一遍吗楼主
嗨，可以再分享一下吗，谢谢啦
hello女神链接：[有效] [无效]
密码：h4q2
被取消了可以再发一次嘛
可以发一下吗
hello女神链接：[有效]
密码：h4q2
可以再发一遍吗
谁还有资源吗
再发一遍嘛
嘤嘤嘤，被取消了，可以重新发一下嘛，谢谢了。
hello女神链接：[有效] [无效]
密码：h4q2
可以再发一次嘛
可以重发一下吗
可以重新发一下吗
求资源啊啊啊
重发一下可以吗？
同求！！！
贴吧热议榜
使用签名档&&
保存至快速回贴