安全性堪忧:1.85亿Android用户隐私数据面临威胁
研究人员发现Google Play应用市场的大量Android应用(8%)都没有采用正确的加密措施。其中41款会泄露用户隐私数据的应用的用户数量高达1.85亿用户。
最近,德国汉诺威大学和菲利普斯大学的计算机安全专家在本周的计算机与通讯安全大会上发布的一份报告
研究人员在Google Play市场中发现有41款Android应用在与网络银行等机构的web服务器和手持设备(运行Android4.0,也称冰激凌三明治)之间通讯时,会泄露敏感数据。研究人员在局域网环境中,采用一些常见的局域网攻击工具,能够轻易突破这些Android应用采用的SSL安全套接字层协议和TLS传输层安全协议,获取用户的网银账户信息(包括Paypal、美国运通等),以及Facebook账户、电子邮件和云存储账户和信息,但该报告并未列出这41款Android应用的具体名称。
目前Google发言人拒绝就此事发表评论,目前尚无证据显示这些易受攻击的Android应用出自Google员工之手,但是研究人员指出,Google的工程师们本可以采取更好的加密技术保护Android应用的数据安全。
Android安全报告为Android移动应用市场敲响了警钟,作为保障网站和用户间通讯安全的基础协议——SSL和TLS并非万无一失。虽然SSL和TLS技术本身相对安全,但是由于认证机构不能很好保障其基础设施安全,或者网站没有采用合理的安全预防措施,依然会为移动应用用户带来巨大的安全风险。
“Android安全报告对开发者是个很好的警示,他们应当意识到,良好的QA流程完全可以避免这些基本的安全问题。而且,大多数移动开发者都没有把安全作为头等大事对待。”移动安全公司Duo Security的首席技术官Jon Oberheide表示。
据悉,研究人员从Google Play电子市场下载了1.35万个免费应用进行安全统计分析。测试内容包括检查SSL部署是否容易受到“中间人”攻击,此类攻击可以让攻击者监听Wi-Fi等不安全网络上的通讯数据。结果发现至少有1074个Android应用(占总数8%),采用了不安全的SSL代码——会接受所有证书,或者一个证书支持所有主机名,导致用户极易遭到中间人攻击。
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章:
关于作者王萌
在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com
