99% Android 手机会泄漏用户机密信息

大部分 Google Android 手机都可能遭到恶意攻击，攻击者可利用窃取的数字保密信息访问用户的日历、联系人、和其他跟 Goolge 服务相关的敏感信息。

发出上述警告的德国 Ulm 大学的科研人员认为，漏洞原因在于 Android 2.3.3 及之前版本操作系统使用的验证协议 
\nClientLogin 部署不当，当用户向 Google 日历、联系人和其他服务提交有效的保密资料之后，程序界面会获取一个明文发送的验证权标（authToken）。由于该权标的有效期长达14天，这为攻击者提供了可乘之机，未经授权即可访问相关账户。

该大学
\n媒体信息研究所的科研人员称，他们想弄清是否能够发起针对 Google 服务的模拟攻击，经过分析之后，他们认为可以，易如反掌。
\n2月份，赖斯大学教授 Dan Wallach 也发现了类似的 Android 漏洞，受影响服务包括 Twitter、Facebook、和 Google 日历。只有当 Android 用户通过WiFi等非安全网络时才可能遭到攻击。

Google 本月初发布了 Android 2.3.4，修复了这个安全漏洞，但科研人员表示该版本、乃至 Android 3 仍然通过非加密方式让手机和 Picasa 网络相册同步。根据
\nGoogle 自己的统计数据，这意味着99%以上 Android 手机都有可能遭到攻击。

一名 Google 发言人称 Android 团队已经发现了 Picasa 相关的漏洞，目前正在寻找解决方案。

科研人员警告称，如果 Android 用户通过攻击者的网络使用手机，就有可能遭到攻击。

要想大量收集这类验证权标信息，不法分子只需通过未加密无线网络中的 SSID 创建一个 WiFi接入点即可。在默认设置下，Android 手机会自动连接到这样的已知接入点，并且很多应用会立刻同步数据。同步可能会失败，单不法分子可以通过这些同步请求获得验证权标。

科研人员建议使用 ClientLogin 的应用应立即开始使用加密的https渠道。采用更加安全的  oAuth 验证协议也可以避开验证权标漏洞。他们还建议 Google 缩短验证权标的有效期，并拒绝发自非安全 http 连接的请求。

目前 99% 以上运营商提供的 Android 手机都存在上述漏洞，这表明 Google 在通过及时更新保持 Android 版本一致性方面任重道远（有关 Android 版本分化的问题请看 36氪 之前报道
\n《Android是Google的特工Smith，谁是Neo？》）。甚至还有一些 Android 手机版本仍停留在 2.2.2 上。

下面几篇文章的内容与这篇文章的内容相似,也许你也会有兴趣:

下一场移动大战，当Google/Android遭遇Amazon/Android

奋起直追！Google秘密群聊应用Disco发布2.0版本

Google现在每天激活50万台Android设备

Google+的界面有让你想起Facebook么？你不是唯一一个

Google测试新的搜索结果页面，二栏变三栏

别黑我大 Google

上周 Google 表示要加强和无线运营商的合作，帮助他们尽快提供 Android 更新。但目前还没有提供详细方案。

via 
\ntheregister 配图 
\nsakuhetu

下载36氪APP，获得更好阅读体验