研究稱99%Android手機(jī)存隱私數(shù)據(jù)“泄露”隱患
掃描二維碼
隨時(shí)隨地手機(jī)看文章
5月18日消息,據(jù)美國(guó)媒體報(bào)道,昨日德國(guó)一所知名大學(xué)的3位研究員通過(guò)測(cè)試發(fā)現(xiàn),超過(guò)99%的搭載Android操作系統(tǒng)的智能手機(jī)能輕易地被移動(dòng)黑客侵襲,侵襲者可以利用“泄漏“的數(shù)據(jù)假扮成手機(jī)用戶本人,登入其Google Calendar(谷歌日程管理)、Twitter 和 Facebook等應(yīng)用賬戶。
據(jù)英國(guó)科技網(wǎng)站The Register報(bào)道,德國(guó)烏爾姆大學(xué)(University of Ulm)的 Bastian Konings, Jens Nickels和Florian Schaub等3位研究員進(jìn)行的測(cè)試發(fā)現(xiàn), Android手機(jī)容易被移動(dòng)黑客侵襲,主要是由用戶使用搭載Android2.3.3或更早版本的智能手機(jī)通過(guò)ClientLogin驗(yàn)證時(shí)的不恰當(dāng)操作引起。
據(jù)測(cè)試,用戶提交驗(yàn)證信息之后,ClientLogin會(huì)收到一個(gè)明文序列號(hào)形式的認(rèn)證令牌(authToken)。但是,同一個(gè)認(rèn)證令牌可以反復(fù)試用多達(dá)14天之久,這給黑客提供了可乘之機(jī),黑客將可以利用存儲(chǔ)的明文序列號(hào)展開(kāi)惡意破壞活動(dòng)。
根據(jù)三位研究者的測(cè)試,黑客的侵襲不僅僅局限于Google Calendar(谷歌日程管理)和Google Contacts(谷歌聯(lián)系人列表),理論上講,通過(guò)ClientLogin認(rèn)證進(jìn)入的所有數(shù)據(jù)應(yīng)用程序都存在被黑客侵襲的隱患。
對(duì)于Android設(shè)備用戶來(lái)講,這種黑客侵襲只有在其使用沒(méi)有安全保障的網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)才會(huì)發(fā)生,比如Wi-Fi熱點(diǎn)等。3位研究人員稱,只有搭載Android操作系統(tǒng)的手機(jī)連接到由黑客控制的網(wǎng)絡(luò)時(shí),黑客才有機(jī)會(huì)發(fā)動(dòng)侵襲。
對(duì)于該問(wèn)題的解決,3位研究員給出三點(diǎn)建議:首先,對(duì)于其應(yīng)用須通過(guò)ClientLogin認(rèn)證的開(kāi)發(fā)者來(lái)講,“應(yīng)立刻切換為HTTPS方式進(jìn)入網(wǎng)絡(luò)”;其次,谷歌應(yīng)該限制認(rèn)證令牌的有效時(shí)間,并對(duì)自動(dòng)登錄到?jīng)]有安全保障網(wǎng)絡(luò)采取限制措施;最后,Android手機(jī)的用戶應(yīng)盡快將將其系統(tǒng)升級(jí)至Android 2.3.4版本,另外,還應(yīng)關(guān)掉自動(dòng)聯(lián)接Wi-Fi網(wǎng)絡(luò),或則干脆完全放棄使用Wi-Fi網(wǎng)絡(luò)。