研究称Android手机99.7%存在安全漏洞

来源：腾讯科技　作者：萧谔　责任编辑：admin　发表时间:2011-05-18 20:42　

核心提示：北京时间5月18日消息，据国外媒体报道，德国研究人员发现，几乎所有的Android手机（99.7%）都存在重大的验证漏洞，使黑客可通过未加密的无线网络窃取用户的数字证书。研究人员称，黑客可以使用这些证书访问用户的谷歌日历、联系人和其他应用程序。这个安全

北京时间5月18日消息，据国外媒体报道，德国研究人员发现，几乎所有的Android手机（99.7%）都存在重大的验证漏洞，使黑客可通过未加密的无线网络窃取用户的数字证书。

研究人员称，黑客可以使用这些证书访问用户的谷歌日历、联系人和其他应用程序。这个安全漏洞令谷歌特别尴尬，因为其很容易被发现。漏洞存在于Android 2.3.3或更早版本谷歌系统中的ClientLogin验证协议。

通常，应用程序使用该协议需要包含用户谷歌帐户证书的认证令牌（authToken），authToken可以重复使用两个星期。但研究人员发现，使用未加密的HTTP连接和开放的无线网络，黑客很容易获得用户的authToken。

德国乌尔姆大学的巴斯蒂安·科宁（Bastian Könings）、扬·尼克尔（Jens Nickels）和佛罗里安·绍布（Florian Schaub）称，authToken与特定的用户群或设备无关，这意味着黑客可以利用authToken改变用户的谷歌联系人、日常安排和访问任何依赖于ClientLogin的其他应用程序。

好消息是，Android 2.3.4及以后版本的系统已解决了大部分问题，只有与Picasa同步时可能存在一些问题，但谷歌显然在解决。坏消息是，大多数Android用户使用的是易受攻击的旧版系统，Android制造商和运营商仍未及时更新。

研究人员称，用户应避免使用无加密的Wi-Fi网络，如果必须使用这种连接到，需关掉Android的自动同步设置。他们还建议，应用程序开发者应转到更安全的HTTPS ClientLogin认证协议，谷歌应严格限制authToken的使用时间。

(责任编辑：admin)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。