有關于運行Android操作系統(tǒng)的設備容易受到中間人攻擊新聞大家很感興趣，既然大家想對此進一步了解，那么小編來給大家分享一下具體情況。

一群大學研究人員警告說，大多數(shù)運行谷歌Android操作系統(tǒng)的設備容易受到中間人攻擊，攻擊者將允許對手訪問受害者存儲在Google服務中的個人數(shù)據(jù)。

來自德國烏爾姆大學的研究人員在5月13日說，惡意個人可以攔截通過不安全的WiFi網(wǎng)絡運行應用程序的Android用戶的身份驗證令牌，訪問Google服務(例如日歷和聯(lián)系人)的應用程序使用ClientLogin身份驗證協(xié)議請求并接收身份驗證令牌獲得對用戶數(shù)據(jù)的訪問。Google設計了令牌，以便可以重復使用同一個實例兩周。

但是，如果在用戶處于未加密的不安全連接上時請求并發(fā)送令牌，則任何竊聽者都可以找到并竊取令牌，并在14天的期限內(nèi)使用它來訪問用戶聯(lián)系人，日歷項，電子郵件和其他個人信息。研究人員Bastian Konings，Jens Nickels和Florian Schaub表示，令牌沒有綁定到會話或設備上，這使攻擊者很容易用另一部手機模擬用戶。

該大學的媒體信息研究所的研究人員寫道：“我們想知道是否真的有可能對Google服務發(fā)起模擬攻擊并開始我們自己的分析?！? “簡短的答案是：是的，這樣做是可能的，而且非常容易?！?

根據(jù)Google的平臺統(tǒng)計資料，該問題存在于Android 2.3.3及更早版本中，其中包括當前Android設備的99.7%。研究人員稱，漏洞已在2.3.4中得到解決，并且所有應用程序都使用安全的HTTPS連接來訪問Google服務。

Juniper Networks全球威脅中心首席移動傳播者Dan Hoffman告訴eWEEK，ClientLogin身份驗證協(xié)議漏洞是攻擊者利用WiFi網(wǎng)絡并監(jiān)視企業(yè)和個人數(shù)據(jù)的一個示例?；舴蚵f，“這種利用的簡便性”使得這對于任何將敏感數(shù)據(jù)存儲在Google服務中的人來說都是一個嚴重的漏洞。

研究人員說：“對手可以完全訪問相應Google用戶的日歷，聯(lián)系人信息或私人網(wǎng)絡相冊?！?

霍夫曼說，對手可以查看，修改或刪除任何聯(lián)系人，日歷事件或私人圖片，就像合法用戶已經(jīng)正確登錄一樣。據(jù)霍夫曼稱，該人將能夠在很長的一段時間內(nèi)“秘密地”獲得和操縱用戶擁有的所有物品。

惡意黑客可能僅通過設置WiFi接入點并假裝成為未加密的無線網(wǎng)絡就可以收獲大量令牌。范圍內(nèi)的任何Android設備都可以連接，從而使黑客可以訪問服務令牌。

霍夫曼說，企業(yè)應確保員工使用VPN軟件通過開放的WiFi網(wǎng)絡訪問公司數(shù)據(jù)或電子郵件?；舴蚵f，應該正確配置無線設置，應用程序開發(fā)人員應確保他們使用適當?shù)陌踩珔f(xié)議來保護數(shù)據(jù)。

研究人員測試了與各種Android版本上的Google服務聯(lián)系的應用程序，發(fā)現(xiàn)該問題在2.3.3之前的所有版本中都存在。在Android 2.3.4及更高版本上，只有將Picasa與在線Web相冊同步的Gallery應用程序仍然很容易受到攻擊，因為它使用常規(guī)HTTP進行同步。研究人員發(fā)現(xiàn)，任何使用ClientLogin協(xié)議通過HTTP訪問Google服務的Android或桌面應用程序都容易受到攻擊。

研究人員建議Google縮短令牌有效的時間，并自動拒絕來自不安全HTTP連接的ClientLogin請求。

Android用戶應該更新到版本2.3.4，盡管說起來容易做起來難，因為大多數(shù)用戶不得不等待無線運營商推出更新。例如，許多Verizon Wireless客戶仍停留在2.2.2版本。愿意越獄的用戶可以繼續(xù)進行更新。無論哪種方式，用戶都應禁用允許Android設備自動與開放的WiFi網(wǎng)絡同步的設置。

ESET網(wǎng)絡威脅分析中心主任Paul Laudanski表示，即使普通用戶遭受此類攻擊的機率“不高”，用戶也應“偏執(zhí)”并避免開放的WiFi網(wǎng)絡。勞丹斯基說：“請注意您所在的位置以及系統(tǒng)要連接的內(nèi)容?！?