據(jù)英國(guó)科技網(wǎng)站The Register報(bào)道���,德國(guó)烏爾姆大學(xué)的研究學(xué)者在對(duì)Android平臺(tái)的安全性進(jìn)行研究后發(fā)現(xiàn),99%的Android手機(jī)都存在密碼容易失竊的漏洞�����。
研究發(fā)現(xiàn),Android平臺(tái)存在一個(gè)漏洞�����,在用戶輸入受密碼保護(hù)的服務(wù)的身份憑證以后���,黑客就能通過這個(gè)漏洞收集和使用手機(jī)用戶存儲(chǔ)的數(shù)字標(biāo)識(shí)符����。這個(gè)問題看起來與一種名為“ClientLogin”的身份驗(yàn)證協(xié)議有關(guān)����,該協(xié)議現(xiàn)存在于Android 2.3.3及以前版本中,也就是說���,大多數(shù)Android手機(jī)都存在這個(gè)漏洞。
研究指出�,在用戶輸入Twitter、Facebook或谷歌日歷(Google Calendar)等服務(wù)的身份憑證后���,程序界面會(huì)檢索一個(gè)用于身份驗(yàn)證的數(shù)字標(biāo)識(shí)符��,“由于這個(gè)標(biāo)識(shí)符能在這些服務(wù)的任何后續(xù)請(qǐng)求中被使用最多14天的緣故�,黑客可利用標(biāo)識(shí)符來登陸用戶賬戶”。
谷歌已經(jīng)發(fā)布了一個(gè)補(bǔ)丁來解決ClientLogin協(xié)議的問題����,但這個(gè)補(bǔ)丁僅可用于Android 2.3.4和Android 3.0,這意味著大約99%的Android手機(jī)無法使用這個(gè)補(bǔ)丁���。
到目前為止����,谷歌尚未就這一狀況發(fā)布正式的聲明����。