Google Play 又出差错。
汉诺威的德国莱比锡大学(Leibniz University of Hannover)和马尔堡的菲利浦大学(Philipps University of Marburg)最近研究,发现Google Play商店里头有41个关于线上服务的应用程序,容易泄漏个人资料,包括银行帐户、Paypal交易资料、美国运通资料,还有Facebook、电子邮件、云端硬盘的帐户资料,甚至是网络摄影机、应用程序操控权、远端遥控。
研究人员并未公告有哪些应用程序暗藏危机,但提到有些应用程序已有高达1亿8千万以上的下载次数,并解释了何种情况下会产生泄漏资料的可能。
笔者认为,如果把这些应用程序公告出来,这些研究员大概就有打不完的毁谤官司了;不过Ars Technica网站对此资讯相当重视,对研究员的报告做了简单的统整,将容易发生危险的情况举例列出:
某防毒应用程序在更新病毒码时对连结认证,此时如果接收到无效凭证,研究员便有能力将恶意软体传送至该装置中。
某云端应用程序在上传及下载档案时标榜“简单、安全”,但在SSL传输时会产生漏洞,造成登入资讯容易遭人窃取;该应用程序有1百万至5百万的用户。
某热门的Web 2.0网站客户端应用程序,大约有1百万用户,但使用应用程序登入该网站时,会洩漏Facebook及Google帐号资讯。
某应用程序能传送跨平台的即时讯息,但使用时容易洩漏电话簿的联络资料;该应用程序有1千万至5千万用户。
此项研究也针对Google的审核机制提出质疑,认为Google的工程师其实可以应用程序限制得更加安全。
上述的41个应用程序仅限于线上服务类别,这些研究员总共在Google Play上下载了13500个应用程序,并用先前在网络上流传的SSL加密破解工具加以入侵测试,发现有1074个应用程序遭入侵成功;虽然并非所有应用程序都很容易破解,但由此可看出Google的审核机制,以及开发人员的用心的确有待加强。
本文由“TechOrange ”与“i黑马”联合出品,原文地址:http://techorange.com/2012/10/24/researchers-reveal-massive-encryption-faults-in-android-apps-used-by-millions/文章由TechOrange 撰写。如果在阅读过程中遇到什么问题,请联系post@chuangyejia.com ,期待您宝贵的意见和建议!
i黑马也诚邀第三方媒体入驻“开放实验室”,合作联系:@老雅痞
匿名用户
