德國烏爾姆大學的研究人員提出一份報告顯示,超過99%的Android OS設備存有一個漏洞,導致用戶的網路服務帳號可能遭挾持。
報告指出,Android OS中的網路認證機制ClientLogin,在Android
2.3.3及之前版本均存有漏洞,會暫存大部分網路服務的用戶授權認證(authToken)兩週,讓用戶不必每次都要重新登入。但該機制採明碼傳送授權認證,因此用戶使用公用網路時,很可能被側錄相關資料,進而讓這些服務的帳號被他人所挾持。
研究人員實際使用多種設備及版本進行側錄實驗發現,Google已經在Android
2.3.4、3.0及之後版本修正日曆、聯絡人等服務明碼傳送授權認證問題,但也發現Picasa Web在Android
2.3.4仍以明碼登入。更令人擔憂的是,大約僅不到1%的Android設備使用Android
2.3.4、3.0或更新版本,而且這些設備可能永遠都無法升級到已經修正問題的版本。
研究人員認為用戶應該避免系統自動登入未加密的Wi-Fi無線網路,首先應清除以往登入過的未加密Wi-Fi無線網路,並將自動登入未加密的Wi-Fi無線網路功能關閉。該份報告也建議軟體開發人員在使用ClientLogin機制時,強制使用https加密通訊協定。
全站熱搜
留言列表
