智能手机成钓鱼网站新目标

近日,Android平台曝出短信钓鱼漏洞,如果你下载了一款受...[详情]

互联网及手机安全使用手册

2011年绿色网络之旅活动互联网及手机安全使用手册下载...[详情]

信息诈骗不完全手册

犯罪分子利用手机短信实施诈骗的手段可谓花样翻新,其中一些还颇...[详情]
 您所在的位置:中国网民文化节 > 绿色网络之旅 > 移动互联网安全 > Android应用现漏洞:可泄露用户社交账号

Android应用现漏洞:可泄露用户社交账号

2014-06-26 10:19:42  来源:腾讯科技


    哥伦比亚大学的安全研究人员最近打造了一种工具,这种工具能够对谷歌应用商店Google Play的各个应用进行慢慢分析和挖掘,以查找是否存在安全问题。这种工具的工作方式就如何谷歌搜索挖掘和分析网络数据那样。

  哥伦比亚大学研究人员打造的这款工具名为“PlayDrone”,旨在对谷歌应用商店以及上传到该商店的应用进行分析,从而保护安全系统,以避免这些安全系统遭受漏洞等安全问题的困扰。此工具的最终目标就是找到Android应用可能会出现的各种漏洞和安全问题。

  功夫不负有心人。研究人员通过在2013年6月到11月期间对100多万款应用进行检测之后,最终发现了Android应用中广泛插播的漏洞问题,这一漏洞能够帮助黑客窃取用户的Facebook帐号,以及Twitter、Bitly、Flickr、Foursquare、 Linkedin、Google+以及其它各种社交帐号。

  应用开发者将他们的重要“秘密”信息植入了应用本身之中,就好像是写下了用户ATM卡的PIN那样,或者就好像是将用户Facebook密码发布在Facebook公共墙上那样。对用户而言,这种方法可能会非常方便用户存储此类密码信息,不过却非常不安全。大量的开发者甚至还将这些密码贴上了“秘密”或“隐私”等字样的标签。

  客观地讲,这一问题并非由谷歌引起,而是由那些将应用张贴在Google Play商店的应用开发者所导致。事实上,研究人员也表明,谷歌已经通过使用PlayDrone扫描应用并告诫开发者移除相关的密码信息等方式阻止过这些问题。另外,研究人员也给了应用开发者数月的时间来修复这些问题,之后才将这一问题公布于众。

  当然,这些问题本身并不可怕。最可怕的是,在上述安全问题被披露之后,一些应用仍然存在这些问题,而且一些应用开发者还迟迟不着手解决这一问题,因而,即使在去年11月份研究人员在警告了应用开发者并正式停止他们的研究项目之后,这一安全问题仍然存在于大量的Android应用之中。

  据研究人员透露称,“例如,在2013年6月22日到11月11日期间,非常具有人气的Airbnb应用仍然包含着用户的谷歌、Facebook、LinkedIn、微软以及雅虎等相关社交服务帐号的密码。”研究人员曾利用这些密码信息查看了Airbnb用户的电子邮件、好友名单等信息。在研究人员将相关情况通知给Facebook之后,Facebook就立即禁止Airbnb应用使用Facebook的用户登录许可。在此之后不久,Airbnb又赶紧修复了其Android应用中的上述安全问题。

  当然,一大好消息就是,谷歌在执行Android应用相关的安全制度方面,的确是越来越智能了。