首页 > 安全实验室 > 安全快讯 > Android手机又爆泄密隐患 用户信息拱手送人

Android手机又爆泄密隐患 用户信息拱手送人

2011-05-20 17:00:00

继上月的跟踪定位门被爆出不久,本周,Android手机平台系统又被爆出了新的泄密隐患,与上一次的定位信息相比,这次的隐患对于用户的威胁要严重不少:当使用Android系统通过Wifi网络登录各种网络时,用户联系人信息,以及登录网站的账户信息和密码可能就已经落到了黑客手中。对此,谷歌在周三迅速发表声明“救火”,他们表示,将在几天之内迅速推出解决方案,并且不需要用户本人操作。

用户信息可能被“送”给黑客

周二,在英国科技网站TheReg-ister上,传出了关于Android手机泄密的新猛料。据该网站介绍,德国一所大学的研究学者,在研究中发现,使用了Android平台的手机可能会在特定情况下,将用户信息和密码拱手送人,如果有不怀好意的黑客利用这点,就有可能酿成大祸。

研究结果表明,当用户使用An-droid系统上网时,一个名为“ClienLo-gin”的身份验证协议,会为用户自动创建一个能够持续14天的数字验证凭证。这个凭证相当于一把自动钥匙,储存着用户的身份信息和使用过的各类密码,可以让用户下次登录相关网站时自动完成验证。业内人士分析,这和电脑上网时,windows系统会提供的密码记忆功能类似,但android系统的这个功能是自动进行,并且很容易被破解。

据了解,如果有利用此漏洞的黑客存在,当用户使用Wifi网络上网时,他们会制造一个伪装的开放式无线接入点来吸引用户连接。当连接成功以后,Android系统会主动使用之前创造的“自动钥匙”,而在黑客虎视眈眈的情况下,这等于是把“钥匙”直接拱手送人。由于一把钥匙的使用期限为14天,黑客就可以在这期间随意登录用户的账号。在研究报告中,推特、Face-book以及GoogleCalendar的账号密码都成为了黑客手中的待宰羔羊。

由于该问题的核心“ClientLogin”身份验证协议,存在于Android 2.3.3及以前版本中,这使全球特别是中国手机市场的大部分Android手机全部中招。有用户自己出谋划策,表示可以关闭Wifi的自动搜索,手动选择信得过得连接点,或者直接升级到An-droid 2.3.4以上版本,另外彻底不用Wifi上网,也可以达到目的。

电子业界忙于“亡羊补牢”

作为世界上各种智能设备使用最多的操作平台,Android系统这个小机器人一直居住在很多消费者的手机与平板电脑之中,按照每年数千万的相关设备出货量来算,其数量早已破亿。但是,由于电子网络的特殊性,一旦出现纰漏,其危险性也会急剧上升,不久前的索尼泄密门,就导致了7000万用户的信息泄露,从而面临巨额赔偿问题。

这次,谷歌在刚处理完之前的定位门之后,面对新问题的出现,反应相当迅速。与新漏洞爆出仅隔一天,谷歌在周三发表声明称,就这个漏洞将推出一种修复措施,将于几天后在全球范围内推出,并且这种修复措施不需要用户采取任何行动。

金山安全工程师李铁军(微博)表示,近期的泄密漏洞频发,显示了行业进入成熟期的种种阵痛。“现在的智能操作系统还在发展阶段,为了获得更全面的功能,越来越多的程序向着复杂化发展。但如此之多的程序,不大可能全都做到滴水不漏。 ”他分析称,随着智能设备的不断增多,不法分子们也开始盯上了这一块,对于使用量大的应用程序和操作平台,各种破解和利用漏洞的行为时有发生,“因为用户量大,所以有利可图,而Android系统就是黑客们的主要目标之一。 ”

李铁军告诉记者,这种情况实际在电脑行业也一直存在,只不过如今的智能设备的出现速度要更快,其安全考量被落在了后面。“如今智能设备五花八门,连冰箱、电视、遥控器等都会装上智能平台,这很可能会让安全隐患的不断爆出成为业界常态。”他认为,除了消费者需要时常关注手中产品的相关信息,不断为系统升级到最新版本以外,更应该让高速发展的厂家静下心来,为用户的安全承担更大的责任。