德国的研究者表示,Android应用程序会导致个人信息流出,攻击者能够利用漏洞对信息进行监听与窜改。
德国的研究者表示,美国Google公司为搭载Android的设备提供的日历,电话簿应用程序,在信息传输过程中没有进行加密,第三方能够对情报进行监听和窜改。搭载Android系统的智能手机有99.7%正受到这个漏洞的影响。
根据德国乌尔姆大学的研究者公开的情报,这个漏洞是Google Calendar,Google Contacts等使用“ClientLogin”认证协议的应用程序中,通过没有加密的HTTP连接来交换认证令牌(authToken)而导致。这将使得通过公共场所的无线LAN能简单地监听到他人情报。
攻击者使用监听到的认证,不仅能够访问日历或通讯录等个人信息,还能在不被引起用户注意的基础上窜改和删除信息。
实际上,研究者对搭载Android的2.1/2.2/2.2.1/2.3.3/2.3.4/3.0版本的设备,测试攻击原生的Google Calendar,Google Contacts和Gallery等应用程序。结果表明,到Android 2.3.3之前的版本,Calendar和Contacts应用程序的网络请求都是通过HTTP没有加密地传输,很容易受到authToken攻击。
Android 2.3.4以后的Calendar和Contacts应用程序改为使用安全的HTTS连接,但网络相册Picasa等同步服务还是使用HTTP。
不仅影响标准的Android应用程序,该漏洞也波及到了使用经HTTP传输的ClientLogin认证Google服务的桌面应用程序。
