研究:Android有洩密漏洞,99%用戶可能受影響
文/沈經 2011-05-18
http://www.ithome.com.tw/itadm/article.php?c=67674
 
 
德國烏爾姆大學的研究人員提出一份報告顯示,超過99%的Android OS設備存有一個漏洞,導致用戶的網路服務帳號可能遭挾持。
 
報告指出,Android OS中的網路認證機制ClientLogin,在Android 2.3.3及之前版本均存有漏洞,會暫存大部分網路服務的用戶授權認證(authToken)兩週,讓用戶不必每次都要重新登入。但該機制採明碼傳送授權認證,因此用戶使用公用網路時,很可能被側錄相關資料,進而讓這些服務的帳號被他人所挾持。
 
研究人員實際使用多種設備及版本進行側錄實驗發現,Google已經在Android 2.3.4、3.0及之後版本修正日曆、聯絡人等服務明碼傳送授權認證問題,但也發現Picasa Web在Android 2.3.4仍以明碼登入。更令人擔憂的是,大約僅不到1%的Android設備使用Android 2.3.4、3.0或更新版本,而且這些設備可能永遠都無法升級到已經修正問題的版本。
 
研究人員認為用戶應該避免系統自動登入未加密的Wi-Fi無線網路,首先應清除以往登入過的未加密Wi-Fi無線網路,並將自動登入未加密的Wi-Fi無線網路功能關閉。該份報告也建議軟體開發人員在使用ClientLogin機制時,強制使用https加密通訊協定。
 
arrow
arrow
    全站熱搜

    我喵了就算 發表在 痞客邦 留言(0) 人氣()