99.7% Android手机用户个人资料或外泄

作者:IT新闻网 来源:IT新闻网 2011-12-30 08:29:28 阅读 我要评论 直达商品

国际报道 研究人员宣称,高达99.7%的Android智能手机用户的Google服务的登陆资料有可能外泄,而存储在云端上的资讯也能遭他人窃取。

CNET科技资讯网 5月20日 国际报道 德国安全研究人员Bastian Konings、Jens Nickels,以及乌尔姆(Ulm)大学的Florian Schaub宣称,高达99.7%的Android智能手机用户的Google服务的登陆资料有可能外泄,而存储在云端上的资讯也能遭他人窃取。

它的问题出在处理Google服务的应用程序会要求认证标记(token)。这些标记很方便,因为使用者就不再需要登陆服务,但是就像研究人员所发现的一样,这些标记有时会通过无线网络以纯文字的方式传送。这意味着在无线网络上进行窃听的人有可能会拦截这些标记。

更糟的是这些标记并没有指定手机使用,这表示某只手机使用的标记也可以用在另外一部手机上。

这个漏洞可能会泄漏个人的日历资料。在联络人信息方面,其他人的私人信息也可能会受到影响,包括电话号码、家庭住址、以及电子邮件地址。除了窃取上述信息之外,攻击者还可以在使用者不知情的情形下进行细微的变更。例如,攻击者可以变更受害者所存储的老板或商业合作伙伴的电子邮件位址,借以取得与业务相关的私密或机密资料。

更糟的是,这些标记的有效时间很长(日历标记有14天),意味着拦截你的标记的人可以取得两周有价值的资料。

拦截这些标记的方法很简单:

攻击者要大规模收集上述的认证标记的话,可以设立一个与未加密的无线网络(例如T-Mobile、attwifi、星巴克等公用网络)相同SSID的无线访问点。通过内定的设定,Android手机会自动连接至先前的已知网络,而许多应用程序将会立即尝试进行同步。同步一定会失败(除非攻击者转传这些要求),攻击者就可以取得每一项尝试同步的应用程序的认证标记。由于认证标记的有效期限很长,攻击者将可以轻松取得大量的标记,之后在不同的地点加以使用。

因此,如果你的工作必须使用Android手机与Google服务来完成的话,该如何自保?研究人员提供了以下三点建议:

升级你的手机至提供Google日历与联络人同步HTTPS的Android版本。然而,你可能要等上好几个周或好几个月,电信运营商才会提供升级,或是根本不会升级。注意:在更新之后,Picassa Sync仍然有漏洞。

在使用开放式的无线网络时关闭自动同步功能。

当然最好是在开放的无线网络连接上避免使用受到影响的应用程序。

看来Android与Google并未尽到保护使用者资料的责任。


  推荐阅读

  联想:USB 3.0明年将成主流技术

联想本周开始销售ThinkPadX1笔记本电脑,它就装载了USB3.0接口。USB3.0的峰值速度更是2.0版本的10倍左右。联想ThinkPad全球产品经理杰森·帕里什(JasonParrish)说:“USB3.0在2012年将成为主流技术。” 北京时间5月2>>>详细阅读


本文标题:99.7% Android手机用户个人资料或外泄

地址:http://www.lgo100.com/a/xie/20111230/178635.html

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
我的评论: 人参与评论
验证码: 匿名回答
网友评论(点击查看更多条评论)
友情提示: 登录后发表评论,可以直接从评论中的用户名进入您的个人空间,让更多网友认识您。
自媒体专栏

评论

热度