Android應(yīng)用導(dǎo)致信息泄漏 影響超95%用戶

德國的研究者表示，Android應(yīng)用程序會導(dǎo)致個(gè)人信息流出，攻擊者能夠利用漏洞對信息進(jìn)行監(jiān)聽與竄改。

德國的研究者表示，美國Google公司為搭載Android的設(shè)備提供的日歷，電話簿應(yīng)用程序，在信息傳輸過程中沒有進(jìn)行加密，第三方能夠?qū)η閳?bào)進(jìn)行監(jiān)聽和竄改。搭載Android系統(tǒng)的智能手機(jī)有99.7%正受到這個(gè)漏洞的影響。

根據(jù)德國烏爾姆大學(xué)的研究者公開的情報(bào)，這個(gè)漏洞是Google Calendar，Google Contacts等使用“ClientLogin”認(rèn)證協(xié)議的應(yīng)用程序中，通過沒有加密的HTTP連接來交換認(rèn)證令牌（authToken）而導(dǎo)致。這將使得通過公共場所的無線LAN能簡單地監(jiān)聽到他人情報(bào)。

攻擊者使用監(jiān)聽到的認(rèn)證，不僅能夠訪問日歷或通訊錄等個(gè)人信息，還能在不被引起用戶注意的基礎(chǔ)上竄改和刪除信息。

實(shí)際上，研究者對搭載Android的2.1/2.2/2.2.1/2.3.3/2.3.4/3.0版本的設(shè)備，測試攻擊原生的Google Calendar，Google Contacts和Gallery等應(yīng)用程序。結(jié)果表明，到Android 2.3.3之前的版本，Calendar和Contacts應(yīng)用程序的網(wǎng)絡(luò)請求都是通過HTTP沒有加密地傳輸，很容易受到authToken攻擊。

Android 2.3.4以后的Calendar和Contacts應(yīng)用程序改為使用安全的HTTS連接，但網(wǎng)絡(luò)相冊Picasa等同步服務(wù)還是使用HTTP。

不僅標(biāo)準(zhǔn)的Android應(yīng)用程序，該漏洞也波及到了使用經(jīng)HTTP傳輸?shù)腃lientLogin認(rèn)證Google服務(wù)的桌面應(yīng)用程序。