網(wǎng)易科4月8日消息,據(jù)國(guó)外媒體報(bào)道,想象一下一家銀行里有兩名員工,一名是處理財(cái)務(wù)敏感信息的分析師而另一名是負(fù)責(zé)溝通的通訊員。他們看起來(lái)在各司其職:分析師在分析財(cái)務(wù)數(shù)據(jù)而通訊員在負(fù)責(zé)與外界的溝通。但實(shí)際上他們?cè)谧鲂┎环ü串?dāng):分析師悄悄將一些財(cái)務(wù)秘密交給通訊員,他們合謀將其轉(zhuǎn)給競(jìng)爭(zhēng)對(duì)手。
現(xiàn)在,假設(shè)銀行是你的Andriod智能手機(jī),員工是手機(jī)中的應(yīng)用程序,而敏感信息則是關(guān)于你的精確定位。
就像上述兩名員工一樣,安裝在同一臺(tái)Andriod智能手機(jī)上的成對(duì)應(yīng)用程序能夠輕易提取出用戶的敏感信息,且很難被檢測(cè)到。目前對(duì)于安全研究人員來(lái)說(shuō),弄清單個(gè)應(yīng)用程序是否會(huì)收集用戶敏感信息并秘密發(fā)送至某個(gè)服務(wù)器比較簡(jiǎn)單。但當(dāng)兩個(gè)應(yīng)用程序組合起來(lái)發(fā)送敏感信息的話,就比較隱秘了。由于Andriod應(yīng)用程序的數(shù)量巨大,弄清不同應(yīng)用程序組合情況下是否存在竊取用戶敏感信息,也是一項(xiàng)非常艱巨的任務(wù)。
本周發(fā)布的一項(xiàng)新研究開(kāi)發(fā)出解決此類問(wèn)題的新方法,該研究也發(fā)現(xiàn),超過(guò)20000對(duì)應(yīng)用程序組合存在用戶數(shù)據(jù)泄漏問(wèn)題。據(jù)悉,弗吉尼亞理工大學(xué)的四名研究人員開(kāi)發(fā)了一個(gè)系統(tǒng),通過(guò)此深入研究了Andriod應(yīng)用程序架構(gòu),以及這些應(yīng)用程序如何在同一部手機(jī)上與其他應(yīng)用程序交換信息。這一名為DIALDroid的系統(tǒng)能夠模擬手機(jī)應(yīng)用程序之間的信息交互,弄清不同應(yīng)用程序之間的組合是否會(huì)泄漏用戶敏感信息。
當(dāng)研究人員利用DIALDroid系統(tǒng)分析了使用頻率較高的100206個(gè)Andriod應(yīng)用程序后,他們發(fā)現(xiàn)近23500對(duì)應(yīng)用程序組合存在泄漏數(shù)據(jù)問(wèn)題,其中超過(guò)16700對(duì)應(yīng)用程序組合存在越權(quán)升級(jí)問(wèn)題,這意味著在這些應(yīng)用程序組合中,其中一個(gè)應(yīng)用程序能夠接受那些通常會(huì)被禁止訪問(wèn)的敏感信息。
該研究列舉了一個(gè)為用戶提供禱告時(shí)間的應(yīng)用程序。其能夠檢索用戶所在的位置,并將其開(kāi)放給手機(jī)上的其他應(yīng)用程序。據(jù)研究,有逾1500個(gè)應(yīng)用程序如果和該應(yīng)用安裝在同一部手機(jī)上時(shí),都能夠獲取該應(yīng)用發(fā)送的手機(jī)位置,而其中有39個(gè)應(yīng)用程序會(huì)將該位置信息發(fā)送出去,存在泄漏信息的危險(xiǎn)性。
雖然單個(gè)應(yīng)用程序的漏洞并不大,但相互聯(lián)系在一起之后,其信息泄漏的危險(xiǎn)性就大大增加。而有問(wèn)題的應(yīng)用程序組合涵蓋了從娛樂(lè)、運(yùn)動(dòng)到攝影等生活方方面面。
當(dāng)然,研究人員指出,在大多數(shù)情況,這種應(yīng)用程序組合造成的信息泄漏并不是故意而為。但畢竟會(huì)對(duì)用戶造成一定的危害。
在某些情況下,應(yīng)用程序組合中的其中一個(gè)會(huì)有惡意情況。例如這種惡意應(yīng)用程序會(huì)利用另一個(gè)應(yīng)用程序的安全漏洞來(lái)竊取數(shù)據(jù)并將相關(guān)信息發(fā)送至遠(yuǎn)程服務(wù)器。在大多數(shù)情況下,信息泄漏主要是因?yàn)閮蓚€(gè)應(yīng)用程序設(shè)計(jì)不當(dāng),使得相關(guān)數(shù)據(jù)能夠從一個(gè)應(yīng)用流向另一個(gè)應(yīng)用,然后再被這個(gè)應(yīng)用發(fā)送至手機(jī)日志文件。
研究發(fā)現(xiàn),智能手機(jī)位置更容易泄漏。當(dāng)研究人員在分析泄露數(shù)據(jù)的最終流向時(shí),他們發(fā)現(xiàn)將近一半存在漏洞的應(yīng)用會(huì)將敏感數(shù)據(jù)發(fā)送至日志文件。通常這些記錄的信息僅僅適用于創(chuàng)建日志文件的應(yīng)用,但很多網(wǎng)絡(luò)攻擊能夠從日志文件中提取數(shù)據(jù)。更有甚者,很多應(yīng)用程序組合會(huì)通過(guò)互聯(lián)網(wǎng)或者SMS方式發(fā)送數(shù)據(jù)。
京公網(wǎng)安備 11010502049343號(hào)