Android應用現漏洞:可泄露用戶社交賬號
責編:admin |2014-06-25 16:18:50哥倫比亞大學的安全研究人員最近打造了一種工具,這種工具能夠對谷歌(微博)應用商店Google Play的各個應用進行慢慢分析和挖掘,以查找是否存在安全問題。這種工具的工作方式就如何谷歌搜索挖掘和分析網絡數據那樣。
哥倫比亞大學研究人員打造的這款工具名為“PlayDrone”,旨在對谷歌應用商店以及上傳到該商店的應用進行分析,從而保護安全系統,以避免這些安全系統遭受漏洞等安全問題的困擾。此工具的最終目標就是找到Android應用可能會出現的各種漏洞和安全問題。
功夫不負有心人。研究人員通過在2013年6月到11月期間對100多萬款應用進行檢測之后,最終發現了Android應用中廣泛插播的漏洞問題,這一漏洞能夠幫助黑客竊取用戶的Facebook帳號,以及Twitter、Bitly、Flickr、Foursquare、 Linkedin、Google+以及其它各種社交帳號。
應用開發者將他們的重要“秘密”信息植入了應用本身之中,就好像是寫下了用戶ATM卡的PIN那樣,或者就好像是將用戶Facebook密碼發布在Facebook公共墻上那樣。對用戶而言,這種方法可能會非常方便用戶存儲此類密碼信息,不過卻非常不安全。大量的開發者甚至還將這些密碼貼上了“秘密”或“隱私”等字樣的標簽。
客觀地講,這一問題并非由谷歌引起,而是由那些將應用張貼在Google Play商店的應用開發者所導致。事實上,研究人員也表明,谷歌已經通過使用PlayDrone掃描應用并告誡開發者移除相關的密碼信息等方式阻止過這些問題。另外,研究人員也給了應用開發者數月的時間來修復這些問題,之后才將這一問題公布于眾。
當然,這些問題本身并不可怕。最可怕的是,在上述安全問題被披露之后,一些應用仍然存在這些問題,而且一些應用開發者還遲遲不著手解決這一問題,因而,即使在去年11月份研究人員在警告了應用開發者并正式停止他們的研究項目之后,這一安全問題仍然存在于大量的Android應用之中。
據研究人員透露稱,“例如,在2013年6月22日到11月11日期間,非常具有人氣的Airbnb應用仍然包含著用戶的谷歌、Facebook、LinkedIn、微軟以及雅虎等相關社交服務帳號的密碼。”研究人員曾利用這些密碼信息查看了Airbnb用戶的電子郵件、好友名單等信息。在研究人員將相關情況通知給Facebook之后,Facebook就立即禁止Airbnb應用使用Facebook的用戶登錄許可。在此之后不久,Airbnb又趕緊修復了其Android應用中的上述安全問題。
當然,一大好消息就是,谷歌在執行Android應用相關的安全制度方面,的確是越來越智能了。