-
楼主 / Sunmax
- 时间: 2011-5-19 08:50早前,德國烏爾姆大學的研究人員發現,被廣泛使用的 Android 作業系統當中有個相當嚴重的安全性漏洞,導致帳戶資料很輕易在無線網路環境下洩露。
報告指出,犯罪份子可以利用此漏洞在用戶登入 Facebook、Twitter 或 Google 提供的網路服務時,截取並收集帳戶的個人資料,目前已知與普遍使用的 ClientLogin 認證機制有關,該機制主要用於與 Google 服務有聯繫的 Android 應用程式,當首次利用 Google 帳戶登入成功後,讓用戶在往後14天內不必重新登入就可以取得服務。
雖然 ClientLogin 普遍在一般網站上被使用,但問題出自於 Android 作業系統是以明碼傳送資料,情況好像沒有受到 SSL 或 HTTPS 加密技術登入網站一樣,等同您的一切無所遁形,犯罪份子只需透過公用網路監控 Android 裝置,很可能被側錄認證標記,進而利用相關資料登入 Google 網站竊取您的 Google 行事曆、聯絡人和相簿等資料。
Google 方面也已經對此做出了回應,表示無證據顯示有犯罪份子正在利用這個安全性漏洞犯案,並已經在 Android2.3.4、 Android 3.0 及之後版本修正了 Google 行事曆、聯絡人等服務透過明碼傳送用戶帳號的漏洞,但相簿 Picasa 仍存在相關問題。不過最令人擔憂的是,目前市場上僅不到 1% 的 Android 設備使用 Android 2.3.4、3.0 或以上版本,所以已認定有 99%的 Android 裝置存在帳戶資料被盜取的危機,而且絕大部份裝置的系統更新由 OEM 控制,Google 無權干涉,這些設備可能永遠都無法升級到已經修正問題的版本。 對此,用戶應該避免在未加密的 Wi-Fi 無線網路使用網絡服務,以策安全。 -
Google 為 Android 系統洩密漏洞推出更新,但仍有 99% 用戶受影響 ZT
