研究員稱99.7%Android手機有安全漏洞

    泡泡網軟件頻道5月18日 據國外媒體報道，德國研究人員發現，幾乎所有的Android手機（99.7%）都存在重大的驗證漏洞，使黑客可通過未加密的無線網絡竊取用戶的數字證書。研究人員稱，黑客可以使用這些證書訪問用戶的谷歌日歷、聯系人和其他應用程序。這個安全漏洞令谷歌特別尷尬，因為其很容易被發現。漏洞存在于Android 2.3.3或更早版本谷歌系統中的ClientLogin驗證協議。

    通常，應用程序使用該協議需要包含用戶谷歌帳戶證書的認證令牌（authToken），authToken可以重復使用兩個星期。但研究人員發現，使用未加密的HTTP連接和開放的無線網絡，黑客很容易獲得用戶的authToken。

    德國烏爾姆大學的巴斯蒂安·科寧（Bastian K鰊ings）、揚·尼克爾（Jens Nickels）和佛羅里安·紹布（Florian Schaub）稱，authToken與特定的用戶群或設備無關，這意味著黑客可以利用authToken改變用戶的谷歌聯系人、日常安排和訪問任何依賴于ClientLogin的其他應用程序。

    好消息是，Android 2.3.4及以后版本的系統已解決了大部分問題，只有與Picasa同步時可能存在一些問題，但谷歌顯然在解決。壞消息是，大多數Android用戶使用的是易受攻擊的舊版系統，Android制造商和運營商仍未及時更新。

    研究人員稱，用戶應避免使用無加密的Wi-Fi網絡，如果必須使用這種連接到，需關掉Android的自動同步設置。他們還建議，應用程序開發者應轉到更安全的HTTPS ClientLogin認證協議，谷歌應嚴格限制authToken的使用時間。■

最新熱點推薦：

DV視頻MTS格式轉換不用愁找專業幫手

英特爾透露:微軟Windows 8將有多版本