北京時間5月18日消息,據(jù)國外媒體報道,德國研究人員發(fā)現(xiàn),幾乎所有的Andr oid手機(99.7%)都存在重大的驗證漏洞,使黑客可通過未加密的無線網(wǎng)絡竊取用戶的數(shù)字證書。
研究人員稱,黑客可以使用這些證書訪問用戶的谷歌日歷、聯(lián)系人和其他應用程序。這個安全漏洞令谷歌特別尷尬,因為其很容易被發(fā)現(xiàn)。漏洞存在于Android 2.3.3或更早版本谷歌系統(tǒng)中的ClientLogin驗證協(xié)議。
通常,應用程序使用該協(xié)議需要包含用戶谷歌帳戶證書的認證令牌(authToken),authToken可以重復使用兩個星期。但研究人員發(fā)現(xiàn),使用未加密的HTTP連接和開放的無線網(wǎng)絡,黑客很容易獲得用戶的authToken。
德國烏爾姆大學的巴斯蒂安·科寧(Bastian K nings)、揚·尼克爾(Jens Nickels)和佛羅里安·紹布(Florian Schaub)稱,authToken與特定的用戶群或設備無關,這意味著黑客可以利用authToken改變用戶的谷歌聯(lián)系人、日常安排和訪問任何依賴于ClientLogin的其他應用程序。
好消息是,Android 2.3.4及以后版本的系統(tǒng)已解決了大部分問題,只有與Picasa同步時可能存在一些問題,但谷歌顯然在解決。壞消息是,大多數(shù)Android用戶使用的是易受攻擊的舊版系統(tǒng),Android制造商和運營商仍未及時更新。
研究人員稱,用戶應避免使用無加密的Wi-Fi網(wǎng)絡,如果必須使用這種連接到,需關掉Android的自動同步設置。他們還建議,應用程序開發(fā)者應轉到更安全的HTTPS ClientLogin認證協(xié)議,谷歌應嚴格限制authToken的使用時間。 |