96av视频,freeporno10,美女搞基动态图

58個安卓追蹤應用 158個安全與隱私問題

責編：gltian ｜2021-06-09 14:25:55

安全專家在58個安卓追蹤軟件應用中發現總共158個隱私和安全問題，惡意黑客可以利用這些漏洞控制受害者的設備、劫持追蹤者的賬戶、攔截數據、實現遠程代碼執行，甚至上傳偽造的證據陷害受害者。

斯洛伐克網絡安全公司ESET分析了安卓平臺上的86款追蹤軟件應用，分析結果凸顯出使用追蹤軟件的意外后果。使用追蹤軟件不僅不道德，過程中還有可能暴露受害者的隱私和私密信息，使之面臨網絡攻擊和詐騙的風險。

ESET研究員Lukas Stefanko評論道：“由于追蹤者和受害者之間可能關系密切，追蹤者的隱私信息也有可能暴露。在研究中我們發現，即使在追蹤者要求刪除數據之后，有些追蹤軟件仍將追蹤者的信息保存在應用中，而將所收集的受害者數據保存在服務器上?！?/p>

截至目前，僅六家供應商修復了其應用中發現的問題。44家供應商拒不承認所披露的漏洞，另有七家供應商宣稱會在即將到來的更新中解決這些缺陷。還有一家供應商決定不修復報告的問題。

追蹤軟件又稱配偶軟件（spouseware）或間諜軟件，指的是可以在不經對方同意的情況下遠程監視另一用戶設備上各種活動的侵入性軟件，此類軟件往往助長親密伴侶監控、騷擾、虐待、跟蹤和暴力。

圖1：安全與隱私問題

ESET收集到的遙測數據顯示，2020年檢測到的安卓間諜軟件比2019年激增48%，而2019年檢測到的追蹤軟件數量甚至比2018年增長了五倍。盡管谷歌對間諜軟件和監視技術的廣告實施了限制，但追蹤軟件提供商還是通過將此類軟件偽裝成兒童、雇員或女性安全應用而成功蒙混過關。

圖2：受害者被跟蹤記錄的數據示例

ESET的分析主要暴露出以下幾個最為普遍的問題：

九家不同供應商的應用基于名為Droid-Watcher的同一款開源安卓間諜軟件，一家供應商將Metasploit攻擊載荷用作了監視應用。
某些應用的硬編碼許可密鑰是明文，致使軟件很容易被盜。ESET分析的其他應用會禁用通知和Google Play Protect，故意降低設備的安全性。
22款應用通過未加密連接將用戶的個人可識別信息（PII）發送到追蹤軟件服務器，身處同一網絡的惡意黑客可以很方便地發起中間人攻擊并篡改所傳輸的數據。
19款應用在外部媒體上存儲敏感信息，如擊鍵記錄、照片、通話錄音、音頻、日程表、瀏覽器歷史記錄和聯系人列表。具有外部存儲訪問權的任意第三方應用都可以讀取這些文件，無需額外授權。
17款應用不要求任何身份驗證就將服務器上存儲的用戶信息暴露給未授權用戶，讓攻擊者可以全權訪問通話記錄、照片、電子郵箱、IP記錄、IMEI號、電話號碼、Facebook和WhatsApp消息，以及GPS位置信息。
17款應用通過服務器泄露客戶信息，受害者可以用設備的IMEI號檢索追蹤者信息，創造暴力破解設備ID并轉儲所有追蹤軟件客戶的機會。
15款應用在安裝當時，甚至在追蹤者注冊并建立賬戶之前，就即時將未授權數據從設備傳輸到服務器了。
13款應用未對受害者手機上傳數據設置足夠的驗證保護，應用在通信中僅依賴IMEI號識別設備。

最后一個問題還有被攻擊者利用來攔截和篡改數據的風險。Stefanko表示：“借助適當的權限，設備上安裝的其他應用就可以很容易地抽取這些標識符，然后以之上傳偽造的短信、照片、通話及其他虛假數據，從而陷害受害者，或給受害者的生活制造麻煩?！?/p>

來源：數世咨詢