根據來自AppBugs的一份分析報告,有14款安卓應用軟件在社交登陸方式上存在嚴重安全漏洞,這些應用軟件合計下載量至少在8000萬次左右。
AppBugs發現不同類型的安卓應用都存在這一問題。這些應用軟件全部使用社交登陸,其中包括了谷歌,微軟,Facebook,Twitter和其他類似社交賬號。
比如,Astro File Manager會“暴露”用戶的微軟賬號,目前這款應用軟件在谷歌GooglePlay中的下載量為5000萬至1億次。MeituPic應用同樣“暴露”了用戶Facebook,百度和人人網賬號,這款應用在Google Play中的下載量為1000萬至5000萬之間。另一款流行新聞應用gReader則完全“暴露”了用戶所有社交賬號,其中包括Facebook, 谷歌, Twitter, 微軟和Evernote等,它的下載量在100萬至500萬次之間。
AppBugs表示,這一問題是由這14款應用軟件處理SSL(安全套接層)認證方式中存在的漏洞引起的,黑客可能會使用偽造SSL認證和自己的服務器來獲取用戶登錄權限。
AppBugs首席技術官兼創始人Rui Wang 表示,這些應用中存在的安全漏洞并不是一種因素引起的。“這些應用或可能使用了存在漏洞的社交庫,或者使用了存在漏洞的代碼。也有可能是開發者自己改變了社交庫,并因此產生漏洞。”Rui Wang表示。
AppBugs 稱他們已經在過去四個月逐個聯系了這14款應用軟件開發商,但是大部分還沒有做出任何回應。截至目前,只有Foxit MobilePDF 開發商修復了此問題。安全專家表示,應用軟件直接以純文本形式傳輸用戶用戶名和密碼的現象很普遍。很多應用軟件開發商并沒有更高級的安全技術,通常在不知情的情況下會把漏洞寫進自己的代碼中。
以下是AppBugs 發現的存在上述漏洞的14款應用軟件:MeituPic,Astro File Manager with Cloud,gReader,Windows Live Hotmail Push Mail,JustUnFollow,Brother iPrint &Scan,Software Data Cable,FriendCaster Chat,PrintHand Mobile Print,Phone for Google Voice >alk,Instachat,InstaMessage,InstaG,FoxIt MobilePDF。
京公網安備 11010502049343號