Board logo

標題: 又見個資外洩! 驚傳99%的Android裝置用戶帳密全都露 [打印本頁]

作者: yuyun    時間: 2011-5-19 10:08     標題: 又見個資外洩! 驚傳99%的Android裝置用戶帳密全都露

蘋果 iOS 系統恐洩露用戶行蹤一事才告一段落,現在又傳出超過 99% 搭載 Android 系統的行動裝置,會導致用戶個資會經由無線網路環境外流,其中又以 Android 2.3.3 以前的版本最為嚴重。

這篇由德國烏爾姆大學(Ulm University)發表的研究報告,內容指出他們發現 Android 的系統,現在有個漏洞會任由駭客在用戶登入包括 Facebook、Twitter 或 Google 提供的網路服時,截取並收集帳戶等資料,目前已知這似乎跟 Android 2.3.3 以前版本使用的 ClientLogin 認證協定有關,該功能為提供用戶可於單次登入後的 14 天內默認登入,等同再次使用時無需再次輸入帳號密碼。

雖然這項功能普遍在一般網站或系統上被使用,但出問題的 Android 版本是以明碼傳送資料(就是沒被暗號化保護),等同駭客若從中攔截,使用者的帳戶將無所遁形。研究人員在多方測試後,發現 Google 在 2.3.4 以及 3.0 以後版本修正了多數服務會透過明碼傳遞用戶帳號的漏洞,但網路相簿 Picasa 的同步問題仍存在 2.3.4 版本內。

測試報告內使用了 Android 2.1(Nexus One)、Android 2.2(HTC Desire、Nexus One)、Android 2.2.1(HTC Incredible S)、Android 2.3.3(Nexus One)、Android 2.3.4(HTC Desire、Nexus One),以及平版電腦專用的 Android 3.0(Motorola XOOM)等版本進行研究,並將內容鎖定在使用者最常更新的原生 Google 日曆、Google 聯絡人以及 Gallery apps(或各家提供的同步服務)。

之所以被認定有 99% 的 Android 系統存在潛藏的被駭危機,在於研究報告中發現目前市面上搭載 Android 作業系統的行動裝置,仍多屬 2.3.3 以前版本,僅有 1% 搭載了 2.3.4 和 3.0 以後版本。基於 Android 開源提供各方廠商使用,版本使用不同且不見得每家都提供升級服務(或是不會提供到最新版本),在眾多現實環境的狀態下,Android 使用者除了將可升級的裝置完成更新外,就是在外使用無線網路環境時,需當心不明訊號,以行動保護自己。

一般可在室外擷取的無線網路訊號,不見得每個都來自於可被信任的提供者所釋出,基於有軟體/技術,可在無線網路環境截取沒有受到 https 加密技術上網的連線者帳戶權限。基本上在無法確認無線訊號提供者前,不建議使用者為了一時連線方便,任意使用這些來路不明的提供端訊號(不然就請使用加密傳輸資料)。當然,現在的 Android 2.3.3 以前版本的使用者,更需要注意。目前 Google 尚未針對此事發表意見。






歡迎光臨 ihao論壇 (https://ihao.org/dz5/) Powered by Discuz! 6.0.0