運(yùn)行Android系統(tǒng)的設(shè)備容易受到中間人攻擊

時(shí)間：2020-03-24 20:49:07

關(guān)鍵字： Android Wi-Fi 谷歌

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]有關(guān)于運(yùn)行Android操作系統(tǒng)的設(shè)備容易受到中間人攻擊新聞大家很感興趣，既然大家想對(duì)此進(jìn)一步了解，那么小編來給大家分享一下具體情況。

有關(guān)于運(yùn)行Android操作系統(tǒng)的設(shè)備容易受到中間人攻擊新聞大家很感興趣，既然大家想對(duì)此進(jìn)一步了解，那么小編來給大家分享一下具體情況。

一群大學(xué)研究人員警告說，大多數(shù)運(yùn)行谷歌Android操作系統(tǒng)的設(shè)備容易受到中間人攻擊，攻擊者將允許對(duì)手訪問受害者存儲(chǔ)在Google服務(wù)中的個(gè)人數(shù)據(jù)。

來自德國(guó)烏爾姆大學(xué)的研究人員在5月13日說，惡意個(gè)人可以攔截通過不安全的WiFi網(wǎng)絡(luò)運(yùn)行應(yīng)用程序的Android用戶的身份驗(yàn)證令牌，訪問Google服務(wù)(例如日歷和聯(lián)系人)的應(yīng)用程序使用ClientLogin身份驗(yàn)證協(xié)議請(qǐng)求并接收身份驗(yàn)證令牌獲得對(duì)用戶數(shù)據(jù)的訪問。Google設(shè)計(jì)了令牌，以便可以重復(fù)使用同一個(gè)實(shí)例兩周。

但是，如果在用戶處于未加密的不安全連接上時(shí)請(qǐng)求并發(fā)送令牌，則任何竊聽者都可以找到并竊取令牌，并在14天的期限內(nèi)使用它來訪問用戶聯(lián)系人，日歷項(xiàng)，電子郵件和其他個(gè)人信息。研究人員Bastian Konings，Jens Nickels和Florian Schaub表示，令牌沒有綁定到會(huì)話或設(shè)備上，這使攻擊者很容易用另一部手機(jī)模擬用戶。

該大學(xué)的媒體信息研究所的研究人員寫道：“我們想知道是否真的有可能對(duì)Google服務(wù)發(fā)起模擬攻擊并開始我們自己的分析?！? “簡(jiǎn)短的答案是：是的，這樣做是可能的，而且非常容易?！?

根據(jù)Google的平臺(tái)統(tǒng)計(jì)資料，該問題存在于Android 2.3.3及更早版本中，其中包括當(dāng)前Android設(shè)備的99.7%。研究人員稱，漏洞已在2.3.4中得到解決，并且所有應(yīng)用程序都使用安全的HTTPS連接來訪問Google服務(wù)。

Juniper Networks全球威脅中心首席移動(dòng)傳播者Dan Hoffman告訴eWEEK，ClientLogin身份驗(yàn)證協(xié)議漏洞是攻擊者利用WiFi網(wǎng)絡(luò)并監(jiān)視企業(yè)和個(gè)人數(shù)據(jù)的一個(gè)示例?；舴蚵f，“這種利用的簡(jiǎn)便性”使得這對(duì)于任何將敏感數(shù)據(jù)存儲(chǔ)在Google服務(wù)中的人來說都是一個(gè)嚴(yán)重的漏洞。

研究人員說：“對(duì)手可以完全訪問相應(yīng)Google用戶的日歷，聯(lián)系人信息或私人網(wǎng)絡(luò)相冊(cè)。”

霍夫曼說，對(duì)手可以查看，修改或刪除任何聯(lián)系人，日歷事件或私人圖片，就像合法用戶已經(jīng)正確登錄一樣。據(jù)霍夫曼稱，該人將能夠在很長(zhǎng)的一段時(shí)間內(nèi)“秘密地”獲得和操縱用戶擁有的所有物品。

惡意黑客可能僅通過設(shè)置WiFi接入點(diǎn)并假裝成為未加密的無線網(wǎng)絡(luò)就可以收獲大量令牌。范圍內(nèi)的任何Android設(shè)備都可以連接，從而使黑客可以訪問服務(wù)令牌。

霍夫曼說，企業(yè)應(yīng)確保員工使用VPN軟件通過開放的WiFi網(wǎng)絡(luò)訪問公司數(shù)據(jù)或電子郵件?；舴蚵f，應(yīng)該正確配置無線設(shè)置，應(yīng)用程序開發(fā)人員應(yīng)確保他們使用適當(dāng)?shù)陌踩珔f(xié)議來保護(hù)數(shù)據(jù)。

研究人員測(cè)試了與各種Android版本上的Google服務(wù)聯(lián)系的應(yīng)用程序，發(fā)現(xiàn)該問題在2.3.3之前的所有版本中都存在。在Android 2.3.4及更高版本上，只有將Picasa與在線Web相冊(cè)同步的Gallery應(yīng)用程序仍然很容易受到攻擊，因?yàn)樗褂贸Ｒ?guī)HTTP進(jìn)行同步。研究人員發(fā)現(xiàn)，任何使用ClientLogin協(xié)議通過HTTP訪問Google服務(wù)的Android或桌面應(yīng)用程序都容易受到攻擊。

研究人員建議Google縮短令牌有效的時(shí)間，并自動(dòng)拒絕來自不安全HTTP連接的ClientLogin請(qǐng)求。

Android用戶應(yīng)該更新到版本2.3.4，盡管說起來容易做起來難，因?yàn)榇蠖鄶?shù)用戶不得不等待無線運(yùn)營(yíng)商推出更新。例如，許多Verizon Wireless客戶仍停留在2.2.2版本。愿意越獄的用戶可以繼續(xù)進(jìn)行更新。無論哪種方式，用戶都應(yīng)禁用允許Android設(shè)備自動(dòng)與開放的WiFi網(wǎng)絡(luò)同步的設(shè)置。

ESET網(wǎng)絡(luò)威脅分析中心主任Paul Laudanski表示，即使普通用戶遭受此類攻擊的機(jī)率“不高”，用戶也應(yīng)“偏執(zhí)”并避免開放的WiFi網(wǎng)絡(luò)。勞丹斯基說：“請(qǐng)注意您所在的位置以及系統(tǒng)要連接的內(nèi)容?！?