CNET科技資訊網 5月20日 國際報道 德國安全研究人員Bastian Konings、Jens Nickels,以及烏爾姆(Ulm)大學的Florian Schaub宣稱,高達99.7%的Android智能手機用戶的Google服務的登陸資料有可能外泄,而存儲在云端上的資訊也能遭他人竊取。
它的問題出在處理Google服務的應用程序會要求認證標記(token)。這些標記很方便,因為使用者就不再需要登陸服務,但是就像研究人員所發現的一樣,這些標記有時會通過無線網絡以純文字的方式傳送。這意味著在無線網絡上進行竊聽的人有可能會攔截這些標記。
更糟的是這些標記并沒有指定手機使用,這表示某只手機使用的標記也可以用在另外一部手機上。
這個漏洞可能會泄漏個人的日歷資料。在聯絡人信息方面,其他人的私人信息也可能會受到影響,包括電話號碼、家庭住址、以及電子郵件地址。除了竊取上述信息之外,攻擊者還可以在使用者不知情的情形下進行細微的變更。例如,攻擊者可以變更受害者所存儲的老板或商業合作伙伴的電子郵件位址,借以取得與業務相關的私密或機密資料。
更糟的是,這些標記的有效時間很長(日歷標記有14天),意味著攔截你的標記的人可以取得兩周有價值的資料。
攔截這些標記的方法很簡單:
攻擊者要大規模收集上述的認證標記的話,可以設立一個與未加密的無線網絡(例如T-Mobile、attwifi、星巴克等公用網絡)相同SSID的無線訪問點。通過內定的設定,Android手機會自動連接至先前的已知網絡,而許多應用程序將會立即嘗試進行同步。同步一定會失敗(除非攻擊者轉傳這些要求),攻擊者就可以取得每一項嘗試同步的應用程序的認證標記。由于認證標記的有效期限很長,攻擊者將可以輕松取得大量的標記,之后在不同的地點加以使用。
因此,如果你的工作必須使用Android手機與Google服務來完成的話,該如何自保?研究人員提供了以下三點建議:
升級你的手機至提供Google日歷與聯絡人同步HTTPS的Android版本。然而,你可能要等上好幾個周或好幾個月,電信運營商才會提供升級,或是根本不會升級。注意:在更新之后,Picassa Sync仍然有漏洞。
在使用開放式的無線網絡時關閉自動同步功能。
當然最好是在開放的無線網絡連接上避免使用受到影響的應用程序。
看來Android與Google并未盡到保護使用者資料的責任。
推薦閱讀
聯想本周開始銷售ThinkPadX1筆記本電腦,它就裝載了USB3.0接口。USB3.0的峰值速度更是2.0版本的10倍左右。聯想ThinkPad全球產品經理杰森·帕里什(JasonParrish)說:“USB3.0在2012年將成為主流技術。” 北京時間5月2>>>詳細閱讀
地址:http://m.sdlzkt.com/a/xie/20111230/178635.html
網友點評
精彩導讀
科技快報
品牌展示