開放Wi-fi的陷阱 99.7%Android手機(jī)中招

來源：比特網(wǎng)　作者：唐小盛　責(zé)任編輯：admin　發(fā)表時間:2011-05-18 21:55　

平板電視互聯(lián)網(wǎng)電視 3D電視機(jī)頂盒智能電視消費類電子產(chǎn)品其他

核心提示：研究表明，在不安全的Wi-Fi連接中使用Android設(shè)備將泄漏你的日程表、聯(lián)系方式及其他數(shù)據(jù)，給不法分子提供機(jī)會。德國烏爾姆大學(xué)的一項研究表明，Android用戶在不安全的Wi-Fi網(wǎng)絡(luò)上運行應(yīng)用程序?qū)⑿孤┢湔J(rèn)證信息。攻擊者能夠通過獲得的認(rèn)證信息悄悄地查看甚至

研究表明，在不安全的Wi-Fi連接中使用Android設(shè)備將泄漏你的日程表、聯(lián)系方式及其他數(shù)據(jù)，給不法分子提供機(jī)會。德國烏爾姆大學(xué)的一項研究表明，Android用戶在不安全的Wi-Fi網(wǎng)絡(luò)上運行應(yīng)用程序?qū)⑿孤┢湔J(rèn)證信息。攻擊者能夠通過獲得的認(rèn)證信息悄悄地查看甚至篡改用戶的電話簿、日程表、電子郵件等信息。

壞消息是：搭載Android2.3.3或更早版本(該類型手機(jī)占了Android設(shè)備的99.7%)的智能手機(jī)都極易受到攻擊,這意味著99.7%的Android手機(jī)存在安全漏洞。好消息是：開發(fā)者、用戶和Google能夠采取措施減少風(fēng)險。

研究者表示，通過ClientLogin(用戶登錄)認(rèn)證協(xié)議，該漏洞將影響你訪問日程表、通訊錄等Google服務(wù)。因為每個應(yīng)用程序都需要登錄，并且該登錄信息將在兩個星期內(nèi)有效，以便用戶在后續(xù)訪問時無需再次填寫登錄信息。

然而，如果在一個非加密的不安全連接(HTTP而非HTTPS)網(wǎng)絡(luò)中登錄應(yīng)用程序，竊聽者就能夠獲取該信息，并在長達(dá)14天的時間里通過它來獲得用戶的數(shù)據(jù)。因此，研究者表示，“攻擊者可以獲取日程表、通訊錄和個別Google用戶的私人網(wǎng)絡(luò)相冊等信息的所有訪問權(quán)限”，“這也意味著攻擊者能夠查看、修改或刪除任何通訊錄、日程安排和私人照片。影響的將不僅是以上事項，而是該用戶所有應(yīng)用程序。”

攻擊者只需要偽裝成諸如機(jī)場或咖啡店這樣的非加密無線網(wǎng)絡(luò)，引導(dǎo)用戶進(jìn)行網(wǎng)絡(luò)連接，便能收集大量的登錄認(rèn)證信息。由于所有的Android設(shè)備都設(shè)置為自動連接到已有網(wǎng)絡(luò)，即一旦該范圍內(nèi)存在無線網(wǎng)絡(luò)，便會自動連接。因此攻擊者甚至無需提出連接請求，便能輕易獲取登錄認(rèn)證信息。除了能夠查看用戶數(shù)據(jù)，攻擊者還能使用認(rèn)證標(biāo)識改變用戶的通訊簿，如改變某個郵箱地址或者群組，以至于用戶毫無意識得將信息發(fā)送給了被篡改后的接收者。

研究者徹底檢測了各代Android系統(tǒng)上相關(guān)的Google應(yīng)用程序，包括日程表、通訊簿和Gallery(畫廊)。結(jié)果發(fā)現(xiàn)所有運行Android 2.3.3及更早版本的應(yīng)用程序都存在漏洞。在Android 2.3.4及后期版本中，日程表、通訊簿使用安全的HTTPS連接方式，避免了風(fēng)險;而Gallery因為與Picasa網(wǎng)絡(luò)相冊同步，因此沒有采用安全的HTTPS連接方式，仍存在漏洞。更為重要的是，這些漏洞并不限于常規(guī)的Android應(yīng)用程序，任何在HTTP上通過ClientLogin訪問Google服務(wù)的Android或桌面應(yīng)用程序都存在該漏洞。

(責(zé)任編輯：admin)

“掃一掃”關(guān)注融合網(wǎng)微信號

免責(zé)聲明：我方僅為合法的第三方企業(yè)注冊用戶所發(fā)布的內(nèi)容提供存儲空間，融合網(wǎng)不對其發(fā)布的內(nèi)容提供任何形式的保證：不保證內(nèi)容滿足您的要求，不保證融合網(wǎng)的服務(wù)不會中斷。因網(wǎng)絡(luò)狀況、通訊線路、第三方網(wǎng)站或管理部門的要求等任何原因而導(dǎo)致您不能正常使用融合網(wǎng)，融合網(wǎng)不承擔(dān)任何法律責(zé)任。

第三方企業(yè)注冊用戶在融合網(wǎng)發(fā)布的內(nèi)容（包含但不限于融合網(wǎng)目前各產(chǎn)品功能里的內(nèi)容）僅表明其第三方企業(yè)注冊用戶的立場和觀點，并不代表融合網(wǎng)的立場或觀點。相關(guān)各方及作者發(fā)布此信息的目的在于傳播、分享更多信息，并不代表本網(wǎng)站的觀點和立場，更與本站立場無關(guān)。相關(guān)各方及作者在我方平臺上發(fā)表、發(fā)布的所有資料、言論等僅代表其作者個人觀點，與本網(wǎng)站立場無關(guān)，不對您構(gòu)成任何投資、交易等方面的建議。用戶應(yīng)基于自己的獨立判斷，自行決定并承擔(dān)相應(yīng)風(fēng)險。

根據(jù)相關(guān)協(xié)議內(nèi)容，第三方企業(yè)注冊用戶已知悉自身作為內(nèi)容的發(fā)布者，需自行對所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）負(fù)責(zé)，因所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）等所引發(fā)的一切糾紛均由該內(nèi)容的發(fā)布者（即，第三方企業(yè)注冊用戶）承擔(dān)全部法律及連帶責(zé)任。融合網(wǎng)不承擔(dān)任何法律及連帶責(zé)任。

第三方企業(yè)注冊用戶在融合網(wǎng)相關(guān)欄目上所發(fā)布的涉嫌侵犯他人知識產(chǎn)權(quán)或其他合法權(quán)益的內(nèi)容（如，字體、圖片、文章內(nèi)容等），經(jīng)相關(guān)版權(quán)方、權(quán)利方等提供初步證據(jù)，融合網(wǎng)有權(quán)先行予以刪除，并保留移交司法機(jī)關(guān)查處的權(quán)利。參照相應(yīng)司法機(jī)關(guān)的查處結(jié)果，融合網(wǎng)對于第三方企業(yè)用戶所發(fā)布內(nèi)容的處置具有最終決定權(quán)。

個人或單位如認(rèn)為第三方企業(yè)注冊用戶在融合網(wǎng)上發(fā)布的內(nèi)容（如，字體、圖片、文章內(nèi)容等）存在侵犯自身合法權(quán)益的，應(yīng)準(zhǔn)備好具有法律效應(yīng)的證明材料，及時與融合網(wǎng)取得聯(lián)系，以便融合網(wǎng)及時協(xié)調(diào)第三方企業(yè)注冊用戶并迅速做出相應(yīng)處理工作。

融合網(wǎng)聯(lián)系方式：（一）、電話：（010）57722280；（二）、電子郵箱：2029555353@qq.com dwrh@dwrh.net

對免責(zé)聲明的解釋、修改及更新權(quán)均屬于融合網(wǎng)所有。