Android應(yīng)用導(dǎo)致信息泄漏 影響超95%用戶(hù)
掃描二維碼
隨時(shí)隨地手機(jī)看文章
德國(guó)的研究者表示,Android應(yīng)用程序會(huì)導(dǎo)致個(gè)人信息流出,攻擊者能夠利用漏洞對(duì)信息進(jìn)行監(jiān)聽(tīng)與竄改。
德國(guó)的研究者表示,美國(guó)Google公司為搭載Android的設(shè)備提供的日歷,電話(huà)簿應(yīng)用程序,在信息傳輸過(guò)程中沒(méi)有進(jìn)行加密,第三方能夠?qū)η閳?bào)進(jìn)行監(jiān)聽(tīng)和竄改。搭載Android系統(tǒng)的智能手機(jī)有99.7%正受到這個(gè)漏洞的影響。
根據(jù)德國(guó)烏爾姆大學(xué)的研究者公開(kāi)的情報(bào),這個(gè)漏洞是Google Calendar,Google Contacts等使用“ClientLogin”認(rèn)證協(xié)議的應(yīng)用程序中,通過(guò)沒(méi)有加密的HTTP連接來(lái)交換認(rèn)證令牌(authToken)而導(dǎo)致。這將使得通過(guò)公共場(chǎng)所的無(wú)線(xiàn)LAN能簡(jiǎn)單地監(jiān)聽(tīng)到他人情報(bào)。
攻擊者使用監(jiān)聽(tīng)到的認(rèn)證,不僅能夠訪(fǎng)問(wèn)日歷或通訊錄等個(gè)人信息,還能在不被引起用戶(hù)注意的基礎(chǔ)上竄改和刪除信息。
實(shí)際上,研究者對(duì)搭載Android的2.1/2.2/2.2.1/2.3.3/2.3.4/3.0版本的設(shè)備,測(cè)試攻擊原生的Google Calendar,Google Contacts和Gallery等應(yīng)用程序。結(jié)果表明,到Android 2.3.3之前的版本,Calendar和Contacts應(yīng)用程序的網(wǎng)絡(luò)請(qǐng)求都是通過(guò)HTTP沒(méi)有加密地傳輸,很容易受到authToken攻擊。
Android 2.3.4以后的Calendar和Contacts應(yīng)用程序改為使用安全的HTTS連接,但網(wǎng)絡(luò)相冊(cè)Picasa等同步服務(wù)還是使用HTTP。
不僅標(biāo)準(zhǔn)的Android應(yīng)用程序,該漏洞也波及到了使用經(jīng)HTTP傳輸?shù)腃lientLogin認(rèn)證Google服務(wù)的桌面應(yīng)用程序。