Google Play 又凸搥。
漢諾威的德國萊比錫大學(Leibniz University of Hannover)和馬爾堡的菲利浦大學(Philipps University of Marburg)最近研究,發現Google Play商店裡頭有41個關於線上服務的應用程式,容易洩漏個人資料,包括銀行帳戶、Paypal交易資料、美國運通資料,還有Facebook、電子郵件、雲端硬碟的帳戶資料,甚至是網路攝影機、應用程式操控權、遠端遙控。
研究人員並未公告有哪些應用程式暗藏危機,但提到有些應用程式已有高達1億8千萬以上的下載次數,並解釋了何種情況下會產生洩漏資料的可能。
筆者認為,如果把這些應用程式公告出來,這些研究員大概就有打不完的譭謗官司了;不過Ars Technica網站對此資訊相當重視,對研究員的報告做了簡單的統整,將容易發生危險的情況舉例列出:
- 某防毒應用程式在更新病毒碼時對連結認證,此時如果接收到無效憑證,研究員便有能力將惡意軟體傳送至該裝置中。
- 某雲端應用程式在上傳及下載檔案時標榜「簡單、安全」,但在SSL傳輸時會產生漏洞,造成登入資訊容易遭人竊取;該應用程式有1百萬至5百萬的用戶。
- 某熱門的Web 2.0網站客戶端應用程式,大約有1百萬用戶,但使用應用程式登入該網站時,會洩漏Facebook及Google帳號資訊。
- 某應用程式能傳送跨平台的即時訊息,但使用時容易洩漏電話簿的聯絡資料;該應用程式有1千萬至5千萬用戶。
此項研究也針對Google的審核機制提出質疑,認為Google的工程師其實可以應用程式限制得更加安全。
上述的41個應用程式僅限於線上服務類別,這些研究員總共在Google Play上下載了13500個應用程式,並用先前在網路上流傳的SSL加密破解工具加以入侵測試,發現有1074個應用程式遭入侵成功;雖然並非所有應用程式都很容易破解,但由此可看出Google的審核機制,以及開發人員的用心的確有待加強。
(資料來源:Ars Technica、Gizmodo、圖片來源:fsse8info, CC Licensed)
原文:TechOrange
