德國(guó)的研究者表示，Android應(yīng)用程序會(huì)導(dǎo)致個(gè)人信息流出，攻擊者能夠利用漏洞對(duì)信息進(jìn)行監(jiān)聽(tīng)與竄改。

德國(guó)的研究者表示，美國(guó)Google公司為搭載Android的設(shè)備提供的日歷，電話(huà)簿應(yīng)用程序，在信息傳輸過(guò)程中沒(méi)有進(jìn)行加密，第三方能夠?qū)η閳?bào)進(jìn)行監(jiān)聽(tīng)和竄改。搭載Android系統(tǒng)的智能手機(jī)有99.7%正受到這個(gè)漏洞的影響。

根據(jù)德國(guó)烏爾姆大學(xué)的研究者公開(kāi)的情報(bào)，這個(gè)漏洞是Google Calendar，Google Contacts等使用“ClientLogin”認(rèn)證協(xié)議的應(yīng)用程序中，通過(guò)沒(méi)有加密的HTTP連接來(lái)交換認(rèn)證令牌（authToken）而導(dǎo)致。這將使得通過(guò)公共場(chǎng)所的無(wú)線(xiàn)LAN能簡(jiǎn)單地監(jiān)聽(tīng)到他人情報(bào)。

攻擊者使用監(jiān)聽(tīng)到的認(rèn)證，不僅能夠訪(fǎng)問(wèn)日歷或通訊錄等個(gè)人信息，還能在不被引起用戶(hù)注意的基礎(chǔ)上竄改和刪除信息。

實(shí)際上，研究者對(duì)搭載Android的2.1/2.2/2.2.1/2.3.3/2.3.4/3.0版本的設(shè)備，測(cè)試攻擊原生的Google Calendar，Google Contacts和Gallery等應(yīng)用程序。結(jié)果表明，到Android 2.3.3之前的版本，Calendar和Contacts應(yīng)用程序的網(wǎng)絡(luò)請(qǐng)求都是通過(guò)HTTP沒(méi)有加密地傳輸，很容易受到authToken攻擊。

Android 2.3.4以后的Calendar和Contacts應(yīng)用程序改為使用安全的HTTS連接，但網(wǎng)絡(luò)相冊(cè)Picasa等同步服務(wù)還是使用HTTP。

不僅標(biāo)準(zhǔn)的Android應(yīng)用程序，該漏洞也波及到了使用經(jīng)HTTP傳輸?shù)腃lientLogin認(rèn)證Google服務(wù)的桌面應(yīng)用程序。