研究稱99%Android手機存隱私數(shù)據(jù)“泄露”隱患

5月18日消息，據(jù)美國媒體報道，昨日德國一所知名大學(xué)的3位研究員通過測試發(fā)現(xiàn)，超過99%的搭載Android操作系統(tǒng)的智能手機能輕易地被移動黑客侵襲，侵襲者可以利用“泄漏“的數(shù)據(jù)假扮成手機用戶本人，登入其Google Calendar（谷歌日程管理）、Twitter 和 Facebook等應(yīng)用賬戶。

據(jù)英國科技網(wǎng)站The Register報道，德國烏爾姆大學(xué)(University of Ulm)的 Bastian Konings, Jens Nickels和Florian Schaub等3位研究員進行的測試發(fā)現(xiàn), Android手機容易被移動黑客侵襲，主要是由用戶使用搭載Android2.3.3或更早版本的智能手機通過ClientLogin驗證時的不恰當(dāng)操作引起。

據(jù)測試，用戶提交驗證信息之后，ClientLogin會收到一個明文序列號形式的認(rèn)證令牌（authToken）。但是，同一個認(rèn)證令牌可以反復(fù)試用多達(dá)14天之久，這給黑客提供了可乘之機，黑客將可以利用存儲的明文序列號展開惡意破壞活動。

根據(jù)三位研究者的測試，黑客的侵襲不僅僅局限于Google Calendar（谷歌日程管理）和Google Contacts（谷歌聯(lián)系人列表），理論上講，通過ClientLogin認(rèn)證進入的所有數(shù)據(jù)應(yīng)用程序都存在被黑客侵襲的隱患。

對于Android設(shè)備用戶來講，這種黑客侵襲只有在其使用沒有安全保障的網(wǎng)絡(luò)傳輸數(shù)據(jù)時才會發(fā)生，比如Wi-Fi熱點等。3位研究人員稱，只有搭載Android操作系統(tǒng)的手機連接到由黑客控制的網(wǎng)絡(luò)時，黑客才有機會發(fā)動侵襲。

對于該問題的解決，3位研究員給出三點建議：首先，對于其應(yīng)用須通過ClientLogin認(rèn)證的開發(fā)者來講，“應(yīng)立刻切換為HTTPS方式進入網(wǎng)絡(luò)”；其次，谷歌應(yīng)該限制認(rèn)證令牌的有效時間，并對自動登錄到?jīng)]有安全保障網(wǎng)絡(luò)采取限制措施；最后，Android手機的用戶應(yīng)盡快將將其系統(tǒng)升級至Android 2.3.4版本，另外，還應(yīng)關(guān)掉自動聯(lián)接Wi-Fi網(wǎng)絡(luò)，或則干脆完全放棄使用Wi-Fi網(wǎng)絡(luò)。