黑客獨白：拿什麼破解你，我的果凍豆？

「防火防盜防黑客」可以說是蘋果和Google每推出一個新的操作系統后的當務之急，總是有黑客以破解這些系統為榮。俗話說道高一尺魔高一丈，Google最新發佈的Android 4.1 Jelly Bean（果凍豆）操作系統算是給黑客們出了道難題。而且有些黑客已經表示果凍豆「真的很難」破解。

為防止黑客入侵用戶手機並安裝惡意軟件，Google此次確實費了些功夫，使用了符合行業標準的防禦技術並得到了妥善解決。在周一公布的一項分析報告中，安全研究員Jon Oberheide稱，果凍豆是首個完整採用了「地址空間布局隨機化（ASLR）」保護技術的Android操作系統。

ASLR技術的工作原理是將記憶庫的位置，堆棧，堆，以及大部分其他操作系統數據結構隨機化，使得黑客無法利用內存漏洞載入惡意的有效載荷。同時再配合數據執行保護技術（DEP）進行防禦，ASLR就能夠有效防禦黑客的攻擊。

事實上，Android 4.0是第一個使用ASLR技術的Android操作系統，但面對黑客攻擊仍是心有餘而力不足。其中一個主要原因就是，它沒有實現記憶庫位置隨機化這一重要功能，因此黑客們仍能輕易在用戶手機中植入惡意代碼。

經驗老道的智能手機黑客和安全研究顧問Charlie Miller稱：

「只要有任何一個數據不是隨機的，ASLR就沒法正常運行。黑客則只需要朝着某一個點攻擊，最終就能侵入整個系統。果凍豆是第一個擁有完整ASRL技術和DEP的Android操作系統，所以黑客們可能得吃點苦頭了。」

除此之外，果凍豆還提供PIE程序隨機化技術，防止黑客利用緩衝溢出或其他內存漏洞，使用return-oriented programming（ROP，歸化編程技術）。果凍豆也能很好的防止信息泄露，從而避免出現更嚴重的系統漏洞。

相比之下，蘋果iOS的安全措施似乎比Android更加完備，而且總是先Android一步。比如，Android尚未提供的保護代碼簽名已在iOS系統中使用多時。而且，iOS早在一年多以前就已經採用了完整的ASRL和DEP保護技術。

不過儘管如此，其各種系統版本遭破解的消息並不少。2009年首席推出的OS X Snow Leopard也沒能將核心數據隨機化；蘋果也隨即在OS X Lion操作系統中對這些漏洞進行了處理。

                                       

編輯員：Inspirr Creation(http://www.inspirr.com)

轉載自：http://www.hksilicon.com/kb/articles/78176

Inspirr Creation 是香港最權威的手機程式開發的公司之一, 根據客人的需要, 在不同的手機平台如iphone, andriod, windows等製作iphone apps, android apps 或其他手機應用程式作商業或個人用途‧ 我們專注於爲客戶提供一站式流動營銷服務,使客戶能在迅速增長的流動營銷市場中得到領先優勢，擴展市場商機。猶豫嗎? 不如先看看我們的手機案例/致電 852-37499734或電郵service@inspirr.com,我們非常歡迎提供專業諮詢服務。

Android Apps, iphone Apps Development, iphone Apps, Android Development, Android Apps開發