研究:手機(jī)APP有安全漏洞 用戶資料或可輕易外泄
發(fā)表日期:2015.06.19 訪問(wèn)人數(shù):551
據(jù)外媒19日?qǐng)?bào)道,德國(guó)弗勞恩霍夫信息安全技術(shù)學(xué)院和達(dá)姆施塔特工業(yè)大學(xué)的研究人員發(fā)現(xiàn),數(shù)以萬(wàn)計(jì)的手機(jī)應(yīng)用軟件(app)保存資料的方式有漏洞,用戶個(gè)人資料,包括密碼、地址、所處位置、門鎖密碼等可輕易被黑客截取。
報(bào)道稱,這些研究人員對(duì)多類手機(jī)應(yīng)用軟件進(jìn)行了研究,其中包括手機(jī)游戲、社交網(wǎng)絡(luò)、短信服務(wù)、醫(yī)藥服務(wù)和銀行戶口轉(zhuǎn)賬等軟件,發(fā)現(xiàn)有約5600萬(wàn)條個(gè)人資料未獲足夠保護(hù)。
研究人員表示,幾乎每一類別中,都有至少一兩個(gè)應(yīng)用軟件安保疏失,而小組組長(zhǎng)博登(Eric Bodden)更指出,受影響的資料“可能多達(dá)數(shù)十億條”。
博登說(shuō),應(yīng)用軟件的開(kāi)發(fā)人員為確認(rèn)用戶身份,會(huì)將用戶個(gè)人資料儲(chǔ)存在網(wǎng)上數(shù)據(jù)庫(kù),而這正是問(wèn)題所在。
開(kāi)發(fā)人員普遍用來(lái)儲(chǔ)存資料的服務(wù)器雖有提供多種加密方法,但開(kāi)發(fā)人員一般會(huì)用默認(rèn)選項(xiàng),即依靠密碼生成器(token)隨機(jī)生成由數(shù)字和字母組成的密碼。
但據(jù)博登指出,黑客可輕易更改應(yīng)用軟件上的密碼生成器,然后截取所有儲(chǔ)存在服務(wù)器里的用戶資料。
研究小組指出,存在這一漏洞的手機(jī)應(yīng)用軟件多達(dá)上萬(wàn)個(gè)。不過(guò)他們拒絕披露這些應(yīng)用軟件的名字,并指暫時(shí)沒(méi)有證據(jù)顯示有人已利用這一漏洞盜取資料。
受訪的互聯(lián)網(wǎng)安全公司則表示,很多開(kāi)發(fā)商經(jīng)常沒(méi)有加密就傳送用戶名字和密碼,所以他們對(duì)研究員的發(fā)現(xiàn)不感意外。