德國烏爾姆大學(University of Ulm)的保安專家周二公布有關研究結果。他們指出,很多Android手機的應用軟件需要一個數碼認證標記,以便進入Google提供的雲端服務,這個認證標記可免去用戶每次使用服務時都要登入的麻煩,用戶只要在登入網上服務時輸入密碼憑證,該認證標記便允許用戶在隨後的14天中能直接使用服務,毋須再輸入密碼。
研究人員指出,由於有時這種認證標記只以純文字方式在無線網絡傳送,黑客只需透過Wi-Fi網絡監控Android手機,便有可能偷取該認證標記,然後用有關資料登入Google服務網站,竊取資料,包括Google的行事曆、通訊錄和私人相簿等。
研究人員說,只有使用Android 2.3.4版的最新手機堵塞了這個漏洞,全球其餘99.7%的Android舊版本手機都有這問題,但到目前為止,並無證據顯示有黑客正在利用這個漏洞犯案。Google表示,得悉問題後已發出軟件更新,可解決大部分的保安問題。
專家促關自動登入網絡功能
研究人員表示,用戶應該避免系統自動登入未經加密的Wi-Fi無線網絡,清除以往登入過的未加密Wi-Fi無線網絡,並且將自動登入未加密Wi-Fi無線網絡的功能關閉。該報告也建議軟件開發人員在使用認證標記時,強制使用加密度較高的https加密通訊協定。
沒有留言:
發佈留言