安卓控神器 四款手机同步软件年度横评_软件学园_科技时代_新浪网
安卓控神器 四款手机同步软件年度横评
　　作者：张林
　　编者按：经过三年多的不断的持续发展，目前Android系统已全面完美地被运用 到了手持设备上，特别是手机移动平台上的Android系统，这两年已然火了半边天。正值Android风靡之时，各类手机的兴起，各种应用如同雨后春笋 般地被开发出来，面对如此之多的应用，用户***使用的软件五花八门，逐步地手机上的应用越来越多，到达一定的程度之后，相信很多用户在管理和维护这些应用 时，势必需要花费不少精力。
　　基于此，建立在对手机程序、资料进行管理和维护的同步软件，被推荐到Android用户的面前，Android手机应用的门槛降低。
安卓控神器 四款手机同步软件年度横评
　　手机同步软件的三方面主要特征
　　一、应用管理。随着Android应用的猛增，手机中运行的Android软件呈现正比增长了，普通Android手机用户所***的应用数量达到几十甚 至上百的大有人在(“安卓控”、发烧友更不在话下)。如同电脑，如此之多的应用，如果没有管理大批量应用的软件工具辅助的话，系统运行速度自然会变慢；
　　二、资料的同步功能。同步功能包括用户手机上的通讯资料、多媒体。通讯资料包含联系人、短信、通话记录；多媒体资料有视频、音频、图片等；等；
　　三、同步辅助软件自身的平台属性。跨平台表现为PC端系统的差异性，如Windows、苹果MAC；手机端平台，如Android、苹果IOS系统，本文的横评选用的是Windows，手机端使用Android平台。
　　参测产品介绍
　　Android 应用现在已经超过35万，浩瀚海量的应用足以满足用户的绝大多数所需，那么在管理用户安卓系统中也许量很大的应用时，哪些同步软件值得去使用，或者说哪些 比较主流？下面我们的评测中将引用目前收用户关注度较高，主流安卓发烧友争相使用的四款Android平台同步工具，为大家分享本年度的同步软件评测。
2.0.7 beta
　　PC端：13.0MB
　　手机端1.78MB
　　QQ电脑管家
　　(Andriod应用助手)
Andriod 1.0 beta4
　　QQ管家32.6MB
　　手机端9.46MB
　　QQ电脑管家：
　　手机端通过“手机管理”下载
91手机助手
　　PC端：V1.7.13.270
　　手机端：3.0.7
　　PC端35.7MB
　　手机端2.7MB
　　PC端：
　　手机端：
魔乐手机管家
　　PC端：2.0
　　手机端：5.6
　　PC端：7.1MB
　　PC端：
　　横评使用的测试环境
GSM、WCDMA
Android OS 2.2
　　测试评分标准
同步通讯资料
最高星级为五星：
同步多媒体资料
手机资源占用测试
本文相关下载
在电脑上管理手机中的通讯录、短信、应用程序和音乐等，也能在电脑上备份手机中的资料。
智能手机PC端管理工具。Android手机版。
Android智能手机管理软件。
***：010-The requested URL '/content/13/812.shtml' was not found on this server.查看: 9136|回复: 41
360手机精灵、豌豆荚、腾讯应用助手 漏洞分析报告
头像被屏蔽
报告摘要 & & 近日，360手机精灵、豌豆荚、腾讯应用助手等手机辅助管理软件被爆存在安全隐患，会导致用户手机内存、存储卡的数据（照片、短信、聊天记录、***录音、视频以及其他文档）等个人数据不经允许被第三方恶意访问、上传、下载、或篡改、删除。 & & 运行Android平台的智能手机在全球的市场份额约22%，中国又是全球智能手机拥有量最多的国家。据分析，截止2011年第三季度，中国网民拥有的Android手机总量约2500万台，超过iphone手机拥有量。因此，360手机精灵等Android手机辅助管理软件的安全漏洞可能影响数千万Android手机用户。 & & 金山毒霸安全中心对上述软件存在信息泄露漏洞的情况进行了详细技术分析和验证，详细如下： 【 三款手机辅助管理软件存在信息泄露风险的简单分析】 可以看到： 360手机精灵：360安全卫士的覆盖面和其不经明示，连接手机即***360手机精灵的特点，360手机精灵的漏洞影响的用户面最大。 豌豆荚：该软件通过Wifi下去掉文件管理器功能的方式来处理该问题，造成产品功能的缺失，同时该软件的验证码机制由于在同一机器，同一无线环境下不会变化，因此仍存在一定风险。 腾讯应用助手：该软件通过强度较高的socket的点对点的通信方式，只有在机器本身中木马，或者Hub被抓包的情况下，才存在安全风险，该种情况大部分软件的安全性都会受到波及，因此影响面最小。 & & 目前，三款软件均已经修复原有产品漏洞，金山毒霸安全中心对其修复方案进行技术分析，详细如下： 【三款Android手机辅助管理软件存在信息泄露漏洞的评估及解决方案】 & & 结论：360手机精灵的解决方案依然遗留了较大的安全风险，豌豆荚和QQ应用助手的解决方案技术完善性更佳。 & & 金山毒霸安全中心提示软件企业，功能的便利性不能以牺牲用户数据安全为代价，希望各手机软件管理厂商能够积极协商制定技术规范，进行技术交流和指导，促进行业发展。 详细分析一、对360手机精灵的分析 1. 情况概述对360手机精灵样本进行了深入分析，主要结论包括：·在涉及公司主站以及第三方下载站发现存在该问题样本；·国内用户手机中间存在该样本；·样本会开启一个FTP服务；·样本使用了固定的用户名和密码；·样本会使用360安全卫士作为主***渠道，在没有明示用户的情况下，连接手机充电，即会***到Android手机上；·在Wifi模式下，没有对访问来源进行限制；·FTP密码为明文保存易被恶意利用 2. 影响版本360手机精灵1.31之前版本的用户，包括1.30、1.20等版本 3. 漏洞现象& & 在***360安全卫士的机器上，插上数据线会弹出管理手机对话框 图3 手机连接电脑充电时，360弹窗提示管理手机 & & 点击管理我的手机按钮。会提示正在连接手机 图4 360手机助手正在连接Android手机 这时会不经用户确认自动***360手机精灵 图5 PC端提示***360手机精灵，手机端不会有任何提示 & & 静默***后，会出现360手机助手界面 图6 360手机助手主界面 & & 这时候查看手机的设置|应用程序中，就会发现360手机精灵程序已经被***图7 Android手机中360手机精灵被*** & & 360手机精灵会在后台运行，点击运行可以看到如下界面：图8 手动运行 360手机精灵的界面 & & 此时如果开着Wifi网络，则其他Wifi用户可以通过360手机精灵的漏洞，远程登录FTP服务连接到这部手机上
图9 其他接入wifi的电脑可访问***了360手机精灵的Android手机 & & 此时可以对手机中的内容进行浏览、下载、删除操作。 图10&&***了360手机精灵的Android手机中存储卡数据正在被下和和进行删除操作
图11 FTP客户端远程删除***了360手机精灵的Android手机存储卡数据确认后就删除了 图12 ***了360手机精灵的Android手机存储卡数据被远程删除 4. 技术分析程序版本：com.qihoo360.daemon 1.3.0 漏洞描述：360手机精灵提供文件管理功能，这个功能是360手机精灵实现的一个ftp服务来管理文件，ftp的密码明文保存在程序的配置文件中，登录ftp时由于没有限制客户端，导致在同一AP（无线网热点） 下的其他用户可以浏览、上传、下载、删除***有360手机精灵的手机的sdcard里面的内容，手机内存目录可浏览、下载。 具体分析如下：从AndroidManifest.xml 看到，360手机精灵开机自启动，然后后台有一个守护后台服务，***来至pc 端的ftp连接 &serviceandroid:name=&com.qihoo360.mobilesafe.pcdaemon.service.DaemonService&android:exported=&true&&&/service& &uses-permissionandroid:name=&android.permission.RECEIVE_BOOT_COMPLETED&&&/uses-permission& 在主程序里面实现了一个ftp 服务器 图13 360手机精灵内置的Ftp服务 & & 其中有DELE&&STOR，列举文件等常用ftp命令，在后台DaemonService 服务中，我们会看到开启了ftp ***服务，等待pc 客户端连接 图14 360手机精灵FTP服务属性 & & 由于360手机精灵会使用SharedPreferences把用户和密码明文存在本程序目录中 图15 360手机精灵的用户名、口令以明文方式保存
知道了用户名和密码，端口和ftp 协议，我们可以开一个扫描器扫描局域网***了360手机精灵的Android手机。 ftp 登陆没有限制，然后开机后台服务自启动，导致在wifi 环境下，随意登陆ftp服务器,相当于360 把你的手机提供给别人访问了。这样只要你***了360 手机精灵，在公用wifi 环境下，就能访问你sdcard 里面的东西了。许多程序喜欢备份通讯录，短信存在sdcard中，然而又没有加密（或者加密的强度很差，非常容易破解），这导致黑客直接存取你的信息。 解决方案& & 新版本中，在Wifi 环境下只允许本机IP地址进行FTP登陆。 图16 新版360手机精灵的修改 & & 但尽管做了IP过滤限制，该方案依然存在被恶意程序或者网站利用的潜在风险； 二、对豌豆荚的分析1. 情况概述：对豌豆荚进行了深入分析，主要结论包括：·在涉及公司主站以及第三方下载站发现存在该问题样本；·国内用户手机中间存在该样本；·样本会开启一个FTP服务；·样本使用了固定的用户名和密码；·在Wifi模式下，没有对访问来源进行限制； 2. 漏洞现象& & 豌豆荚为了实现文件管理功能，使用了FTP服务，该服务使用了固定的用户名和密码，且因为该软件会自动启动并后台运行，在手机开启Wifi的情况下，同一无线路由器AP中，***豌豆荚的用户均会受到威胁。 豌豆荚主界面 图17 豌豆荚管理手机的主界面 & & 在豌豆荚启动的情况下，此时如果开着Wifi网络，其他用户可以通过FTP服务连接到这部手机上 图18 豌豆荚启动Wifi方式连接到PC& & 此时可以连接到这部手机图19 使用FTP客户端连接***了豌豆荚的Android手机 & & 同时对手机中的内容进行下载 图20 使用FTP客户端软件下载***了豌豆荚的Android手机数据 & & 和进行删除操作 图21 使用FTP客户端软件删除***了豌豆荚的Android手机数据 & & 确认后就删除了图22 删除后的结果展示 3. 技术分析漏洞版本：com.wd.AndroidDaemon 1.8 漏洞描述：豌豆夹使用ftp 服务，用户名和密码直接写在程序中，登录ftp时由于没有限制客户端，导致在同一AP（无线接入热点）下的其他用户可以浏览、上传、下载、删除***有豌豆荚手机精灵的手机的sdcard里面的内容。 具体分析如下:从AndroidManifest.xml 看到，豌豆夹android 端同样使用ftp提供File管理功能 &serviceandroid:name=&com.wd.core.server.ftp.WandouFileService&&&/service& 在反编译的类WandouFileService.class 里面我们能看到图23 分析豌豆荚手机端（1） & & 密码和用户名就是a.f 和a.g 中，在混淆的a类中，可以看到默认的用户和密码。图24 分析豌豆荚手机端（2） (豌豆荚的密码需要反编译才能获得，相对于360手机精灵较难被普通用户掌握) 解决方案：豌豆荚取消了通过FTP文件管理的功能，在Wifi的tcp连接中让用户输入生成的验证码，但是这个tcp链接依然不安全，这个验证对于同一台手机来说会不变，依然有问题，可以用tcp连接来访问联系人以及短信。 影响版本***豌豆荚1.1.24.1.1396之前版本的用户，包括豌豆荚1.23.1等版本 修补方案分析豌豆荚在Wifi环境下，取消了SD卡文件管理功能，造成产品功能缺失图25 豌豆荚官方就修补方案发表微博 & & 此外豌豆荚使用TCP链接，让用户输入生成的验证码，这个验证码在同一无线网络环境下的同一台手机来说是会不改变，在破解验证码算法后，存在通过该方式读取联系人和短信信息的威胁。 三、对腾讯应用助手的分析 1. 情况概述：金山对腾讯应用助手进行了深入分析，主要结论包括：·动态验证进行验证；·使用socket连接进行连接，相对较为难被利用； 2. 技术分析漏洞版本：腾讯应用助手(安卓软件管理)v1.0 Beta3 漏洞描述：腾讯应用助手使用socket连接，在socket 连接中，由于没有限制客户端，导致在同一AP下的其他用户可以随意存取***有QQ应用助手的手机的sdcard里面的内容，虽然这种连接理论上能劫持，但是要由于需要验证码，只有仔细分析算法后，写出验证码算法后才能连接，安全的强度不够。 技术分析 从AndroidManifest.xml 看到，腾讯应用助手开机自启动，然后后台有一个守护后台服务，***来至pc 端的socket连接,如下： &serviceandroid:name=&com.qq.AppService.AppService&& & & & &&/service& &uses-permissionandroid:name=&android.permission.RECEIVE_BOOT_COMPLETED&&&/uses-permission& 在com.qq.AppService.AppService，根据连接方式选择wifi 连接还是usb连接 图26 分析QQ手机助手
图25 QQ应用助手手机端启用Wifi连接
修补方案分析在腾讯应用助手(安卓软件管理)v1.0 Beta4 版的更新日志中可以看到： 应用助手for Android 1.0 Beta4 Fix
1. 修改USB连接流程，增加应用助手手机端***提示
2. 新增Wifi连接确认,保证您的手机连接更加安全
3. wifi连接时手机端增加PC连接的状态显示
在Wifi联网时，手机端有需要用户确认提示对话框，安全性得到很大提高。
信息来源：
这个问题果然被揪出来了。
呵呵，很技术。360确实要修复。不过金山此言的目的也很明确啊，。
没有安卓的机子
wangpengsdf
昨天就看到了，不敢转，怕出事儿
本帖最后由 草根无双 于
18:35 编辑
360自已前几天早说了
近期，360安全中心监测发现，360手机精灵1.3.0版本、QQ应用助手beta3、豌豆荚守护精灵1.24.12.9版本等手机应用软件，在公共WiFi局域网环境下存在一个访问权限漏洞。在某些特殊条件下，该漏洞有可能被黑客利用来获取手机信息
hikehiking
金山要是能把360的产品验证成安全的，那才见了鬼了呢
91助手在用。没问题吧？
安卓的机子
fengyejiang
笑而不语...
看标题就可知TX应用助手 “影响不大”
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,