Android智能手机存在个人资料外泄的隐患
发布时间:2021-09-05 14:04:45 所属栏目:安全 来源:互联网
导读:德国安全研究人员Bastian Konings、Jens Nickels,以及乌尔姆(Ulm)大学的Florian Schaub宣称,高达99.7%的Android智能手机用户的Google服务的登陆资料有可能外泄,而存储在云端上的资讯也能遭他人窃
|
德国安全研究人员Bastian Konings、Jens Nickels,以及乌尔姆(Ulm)大学的Florian Schaub宣称,高达99.7%的Android智能手机用户的Google服务的登陆资料有可能外泄,而存储在云端上的资讯也能遭他人窃取。
它的问题出在处理Google服务的应用程序会要求认证标记(token)。这些标记很方便,因为使用者就不再需要登陆服务,但是就像研究人员所发现的一样,这些标记有时会通过无线网络以纯文字的方式传送。这意味着在无线网络上进行窃听的人有可能会拦截这些标记。
更糟的是这些标记并没有指定手机使用,这表示某只手机使用的标记也可以用在另外一部手机上。
这个漏洞可能会泄漏个人的日历资料。在联络人信息方面,其他人的私人信息也可能会受到影响,包括电话号码、家庭住址、以及电子邮件地址。除了窃取上述信息之外,攻击者还可以在使用者不知情的情形下进行细微的变更。例如,攻击者可以变更受害者所存储的老板或商业合作伙伴的电子邮件位址,借以取得与业务相关的私密或机密资料。
更糟的是,这些标记的有效时间很长(日历标记有14天),意味着拦截你的标记的人可以取得两周有价值的资料。
拦截这些标记的方法很简单:
攻击者要大规模收集上述的认证标记的话,可以设立一个与未加密的无线网络(例如T-Mobile、attwifi、星巴克等公用网络)相同SSID的无线访问点。通过内定的设定,Android手机会自动连接至先前的已知网络,而许多应用程序将会立即尝试进行同步。同步一定会失败(除非攻击者转传这些要求),攻击者就可以取得每一项尝试同步的应用程序的认证标记。由于认证标记的有效期限很长,攻击者将可以轻松取得大量的标记,之后在不同的地点加以使用。
因此,如果你的工作必须使用Android手机与Google服务来完成的话,该如何自保?研究人员提供了以下三点建议:
升级你的手机至提供Google日历与联络人同步HTTPS的Android版本。然而,你可能要等上好几个周或好几个月,电信运营商才会提供升级,或是根本不会升级。注意:在更新之后,Picassa Sync仍然有漏洞。
在使用开放式的无线网络时关闭自动同步功能。
当然最好是在开放的无线网络连接上避免使用受到影响的应用程序。
看来Android与Google并未尽到保护使用者资料的责任。
 (编辑:济宁站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
