
□見習記者 姚宏偉 制圖 鄔思蓓
繼上月的跟蹤定位門被爆出不久,本周,Android手機平臺系統又被爆出了新的泄密隱患,與上一次的定位信息相比,這次的隱患對于用戶的威脅要嚴重不少:當使用Android系統通過Wifi網絡登錄各種網絡時,用戶聯系人信息,以及登錄網站的賬戶信息和密碼可能就已經落到了黑客手中。對此,谷歌在周三迅速發表聲明“救火”,他們表示,將在幾天之內迅速推出解決方案,并且不需要用戶本人操作。
用戶信息可能被“送”給黑客
周二,在英國科技網站TheReg-ister上,傳出了關于Android手機泄密的新猛料。據該網站介紹,德國一所大學的研究學者,在研究中發現,使用了Android平臺的手機可能會在特定情況下,將用戶信息和密碼拱手送人,如果有不懷好意的黑客利用這點,就有可能釀成大禍。
研究結果表明,當用戶使用An-droid系統上網時,一個名為“ClienLo-gin”的身份驗證協議,會為用戶自動創建一個能夠持續14天的數字驗證憑證。這個憑證相當于一把自動鑰匙,儲存著用戶的身份信息和使用過的各類密碼,可以讓用戶下次登錄相關網站時自動完成驗證。業內人士分析,這和電腦上網時,windows系統會提供的密碼記憶功能類似,但android系統的這個功能是自動進行,并且很容易被破解。
據了解,如果有利用此漏洞的黑客存在,當用戶使用Wifi網絡上網時,他們會制造一個偽裝的開放式無線接入點來吸引用戶連接。當連接成功以后,Android系統會主動使用之前創造的“自動鑰匙”,而在黑客虎視眈眈的情況下,這等于是把“鑰匙”直接拱手送人。由于一把鑰匙的使用期限為14天,黑客就可以在這期間隨意登錄用戶的賬號。在研究報告中,推特、Face-book以及GoogleCalendar的賬號密碼都成為了黑客手中的待宰羔羊。
由于該問題的核心“ClientLogin”身份驗證協議,存在于Android 2.3.3及以前版本中,這使全球特別是中國手機市場的大部分Android手機全部中招。有用戶自己出謀劃策,表示可以關閉Wifi的自動搜索,手動選擇信得過得連接點,或者直接升級到An-droid 2.3.4以上版本,另外徹底不用Wifi上網,也可以達到目的。
電子業界忙于“亡羊補牢”
作為世界上各種智能設備使用最多的操作平臺,Android系統這個小機器人一直居住在很多消費者的手機與平板電腦之中,按照每年數千萬的相關設備出貨量來算,其數量早已破億。但是,由于電子網絡的特殊性,一旦出現紕漏,其危險性也會急劇上升,不久前的索尼泄密門,就導致了7000萬用戶的信息泄露,從而面臨巨額賠償問題。
這次,谷歌在剛處理完之前的定位門之后,面對新問題的出現,反應相當迅速。與新漏洞爆出僅隔一天,谷歌在周三發表聲明稱,就這個漏洞將推出一種修復措施,將于幾天后在全球范圍內推出,并且這種修復措施不需要用戶采取任何行動。
金山安全工程師李鐵軍(微博)表示,近期的泄密漏洞頻發,顯示了行業進入成熟期的種種陣痛。“現在的智能操作系統還在發展階段,為了獲得更全面的功能,越來越多的程序向著復雜化發展。但如此之多的程序,不大可能全都做到滴水不漏。 ”他分析稱,隨著智能設備的不斷增多,不法分子們也開始盯上了這一塊,對于使用量大的應用程序和操作平臺,各種破解和利用漏洞的行為時有發生,“因為用戶量大,所以有利可圖,而Android系統就是黑客們的主要目標之一。 ”
李鐵軍告訴記者,這種情況實際在電腦行業也一直存在,只不過如今的智能設備的出現速度要更快,其安全考量被落在了后面。“如今智能設備五花八門,連冰箱、電視、遙控器等都會裝上智能平臺,這很可能會讓安全隱患的不斷爆出成為業界常態。”他認為,除了消費者需要時常關注手中產品的相關信息,不斷為系統升級到最新版本以外,更應該讓高速發展的廠家靜下心來,為用戶的安全承擔更大的責任。