据国外媒体报道,谷歌周三宣称,已经成功修补了安卓系统上的一个安全漏洞,该漏洞导致99%的安卓设备存在安全缺口。
一位谷歌发言人表示,他们已经修补了一个可能将日程表和联系人中信息暴露给第三方的安全缺陷。该更新不会要求用户采取任何措施,并在接下来几天在全世界范围内发布。
本周二的一份报告显示,99%的安卓设备在使用非加密网络登录网站时极易被攻击。安装安卓2.3.3或更早版本的设备全部在涉及范围内。造成这种情况的原因是安卓不恰当的实施了一种名为ClientLogin的信息验证协议。该协议被安卓apps用来验证用户的身份,并把验证信息(authToken)存储在设备上长达两周。系统一旦遇到http连接,便通过ClientLogin调用保存在在authToken内的用户名和密码。
有研究者称,当用户登录例如facebook或Twitter时,保存在设备上的登录信息很可能暴露在攻击下,黑客可能利用这些信息非法获取保存在谷歌日程表和联系人中的私人信息。这些研究者是在进行模拟攻击后证实这一结论的。他们同时表示,只要使用需要ClientLogind连接数据API的谷歌应用,理论上都有可能被攻击。
另据了解,谷歌的另一项服务Picasa也出现了安全问题。据透露,Picasa在与移动设备同步时处理数据的方式存在缺陷。但谷歌称这项缺陷也已被修复。谷歌发言人说,所有用户将获得自动更新。