[摘要]该漏洞并未引起应用开发者的重视,问题仍然存在于大量的Android应用之中。
BI中文站 6月24日报道
哥伦比亚大学的安全研究人员最近打造了一种工具,这种工具能够对谷歌应用商店Google+ Play的各个应用进行慢慢分析和挖掘,以查找是否存在安全问题。这种工具的工作方式就如何谷歌搜索挖掘和分析网络数据那样。
哥伦比亚大学研究人员打造的这款工具名为“PlayDrone”,旨在对谷歌应用商店以及上传到该商店的应用进行分析,从而保护安全系统,以避免这些安全系统遭受漏洞等安全问题的困扰。此工具的最终目标就是找到Android应用可能会出现的各种漏洞和安全问题。
功夫不负有心人。研究人员通过在2013年6月到11月期间对100多万款应用进行检测之后,最终发现了Android应用中广泛插播的漏洞问题,这一漏洞能够帮助黑客窃取用户的Facebook帐号,以及Twitter、Bitly、Flickr、Foursquare、 Linkedin、Google+以及其它各种社交帐号。
应用开发者将他们的重要“秘密”信息植入了应用本身之中,就好像是写下了用户ATM卡的PIN那样,或者就好像是将用户Facebook密码发布在Facebook公共墙上那样。对用户而言,这种方法可能会非常方便用户存储此类密码信息,不过却非常不安全。大量的开发者甚至还将这些密码贴上了“秘密”或“隐私”等字样的标签。
客观地讲,这一问题并非由谷歌引起,而是由那些将应用张贴在Google Play商店的应用开发者所导致。事实上,研究人员也表明,谷歌已经通过使用PlayDrone扫描应用并告诫开发者移除相关的密码信息等方式阻止过这些问题。另外,研究人员也给了应用开发者数月的时间来修复这些问题,之后才将这一问题公布于众。
当然,这些问题本身并不可怕。最可怕的是,在上述安全问题被披露之后,一些应用仍然存在这些问题,而且一些应用开发者还迟迟不着手解决这一问题,因而,即使在去年11月份研究人员在警告了应用开发者并正式停止他们的研究项目之后,这一安全问题仍然存在于大量的Android应用之中。
据研究人员透露称,“例如,在2013年6月22日到11月11日期间,非常具有人气的Airbnb应用仍然包含着用户的谷歌、Facebook、LinkedIn、微软以及雅虎等相关社交服务帐号的密码。”研究人员曾利用这些密码信息查看了Airbnb用户的电子邮件、好友名单等信息。在研究人员将相关情况通知给Facebook之后,Facebook就立即禁止Airbnb应用使用Facebook的用户登录许可。在此之后不久,Airbnb又赶紧修复了其Android应用中的上述安全问题。
当然,一大好消息就是,谷歌在执行Android应用相关的安全制度方面,的确是越来越智能了。(悦潼)