研究稱Andriod應(yīng)用會(huì)組團(tuán)泄漏用戶數(shù)據(jù)

網(wǎng)易科技訊4月8日消息，據(jù)國(guó)外媒體報(bào)道，想象一下一家銀行里有兩名員工，一名是處理財(cái)務(wù)敏感信息的分析師而另一名是負(fù)責(zé)溝通的通訊員。他們看起來在各司其職：分析師在分析財(cái)務(wù)數(shù)據(jù)而通訊員在負(fù)責(zé)與外界的溝通。但實(shí)際上他們?cè)谧鲂┎环ü串?dāng)：分析師悄悄將一些財(cái)務(wù)秘密交給通訊員，他們合謀將其轉(zhuǎn)給競(jìng)爭(zhēng)對(duì)手。

現(xiàn)在，假設(shè)銀行是你的Andriod智能手機(jī)，員工是手機(jī)中的應(yīng)用程序，而敏感信息則是關(guān)于你的精確定位。

就像上述兩名員工一樣，安裝在同一臺(tái)Andriod智能手機(jī)上的成對(duì)應(yīng)用程序能夠輕易提取出用戶的敏感信息，且很難被檢測(cè)到。目前對(duì)于安全研究人員來說，弄清單個(gè)應(yīng)用程序是否會(huì)收集用戶敏感信息并秘密發(fā)送至某個(gè)服務(wù)器比較簡(jiǎn)單。但當(dāng)兩個(gè)應(yīng)用程序組合起來發(fā)送敏感信息的話，就比較隱秘了。由于Andriod應(yīng)用程序的數(shù)量巨大，弄清不同應(yīng)用程序組合情況下是否存在竊取用戶敏感信息，也是一項(xiàng)非常艱巨的任務(wù)。

本周發(fā)布的一項(xiàng)新研究開發(fā)出解決此類問題的新方法，該研究也發(fā)現(xiàn)，超過20000對(duì)應(yīng)用程序組合存在用戶數(shù)據(jù)泄漏問題。據(jù)悉，弗吉尼亞理工大學(xué)的四名研究人員開發(fā)了一個(gè)系統(tǒng)，通過此深入研究了Andriod應(yīng)用程序架構(gòu)，以及這些應(yīng)用程序如何在同一部手機(jī)上與其他應(yīng)用程序交換信息。這一名為DIALDroid的系統(tǒng)能夠模擬手機(jī)應(yīng)用程序之間的信息交互，弄清不同應(yīng)用程序之間的組合是否會(huì)泄漏用戶敏感信息。

當(dāng)研究人員利用DIALDroid系統(tǒng)分析了使用頻率較高的100206個(gè)Andriod應(yīng)用程序后，他們發(fā)現(xiàn)近23500對(duì)應(yīng)用程序組合存在泄漏數(shù)據(jù)問題，其中超過16700對(duì)應(yīng)用程序組合存在越權(quán)升級(jí)問題，這意味著在這些應(yīng)用程序組合中，其中一個(gè)應(yīng)用程序能夠接受那些通常會(huì)被禁止訪問的敏感信息。

該研究列舉了一個(gè)為用戶提供禱告時(shí)間的應(yīng)用程序。其能夠檢索用戶所在的位置，并將其開放給手機(jī)上的其他應(yīng)用程序。據(jù)研究，有逾1500個(gè)應(yīng)用程序如果和該應(yīng)用安裝在同一部手機(jī)上時(shí)，都能夠獲取該應(yīng)用發(fā)送的手機(jī)位置，而其中有39個(gè)應(yīng)用程序會(huì)將該位置信息發(fā)送出去，存在泄漏信息的危險(xiǎn)性。

雖然單個(gè)應(yīng)用程序的漏洞并不大，但相互聯(lián)系在一起之后，其信息泄漏的危險(xiǎn)性就大大增加。而有問題的應(yīng)用程序組合涵蓋了從娛樂、運(yùn)動(dòng)到攝影等生活方方面面。

當(dāng)然，研究人員指出，在大多數(shù)情況，這種應(yīng)用程序組合造成的信息泄漏并不是故意而為。但畢竟會(huì)對(duì)用戶造成一定的危害。

在某些情況下，應(yīng)用程序組合中的其中一個(gè)會(huì)有惡意情況。例如這種惡意應(yīng)用程序會(huì)利用另一個(gè)應(yīng)用程序的安全漏洞來竊取數(shù)據(jù)并將相關(guān)信息發(fā)送至遠(yuǎn)程服務(wù)器。在大多數(shù)情況下，信息泄漏主要是因?yàn)閮蓚€(gè)應(yīng)用程序設(shè)計(jì)不當(dāng)，使得相關(guān)數(shù)據(jù)能夠從一個(gè)應(yīng)用流向另一個(gè)應(yīng)用，然后再被這個(gè)應(yīng)用發(fā)送至手機(jī)日志文件。

研究發(fā)現(xiàn)，智能手機(jī)位置更容易泄漏。當(dāng)研究人員在分析泄露數(shù)據(jù)的最終流向時(shí)，他們發(fā)現(xiàn)將近一半存在漏洞的應(yīng)用會(huì)將敏感數(shù)據(jù)發(fā)送至日志文件。通常這些記錄的信息僅僅適用于創(chuàng)建日志文件的應(yīng)用，但很多網(wǎng)絡(luò)攻擊能夠從日志文件中提取數(shù)據(jù)。更有甚者，很多應(yīng)用程序組合會(huì)通過互聯(lián)網(wǎng)或者SMS方式發(fā)送數(shù)據(jù)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。