驚傳99％的Android裝置用戶帳密全都露,app翻版?

網路新聞說:

Android 系統的行動裝置，會導致用戶個資會經由無線網路環境外流，其中又以 Android 2.3.3 以前的版本最為嚴重。
這篇由德國烏爾姆大學（Ulm University）發表的研究報告，內容指出他們發現 Android 的系統，現在有個漏洞會任由駭客在用戶登入包括 Facebook、Twitter 或 Google 提供的網路服時，截取並收集帳戶等資料，目前已知這似乎跟 Android 2.3.3 以前版本使用的 ClientLogin 認證協定有關，該功能為提供用戶可於單次登入後的 14 天內默認登入，等同再次使用時無需再次輸入帳號密碼。

雖然這項功能普遍在一般網站或系統上被使用，但出問題的 Android 版本是以明碼傳送資料（就是沒被暗號化保護），等同駭客若從中攔截，使用者的帳戶將無所遁形。研究人員在多方測試後，發現 Google 在 2.3.4 以及 3.0 以後版本修正了多數服務會透過明碼傳遞用戶帳號的漏洞，但網路相簿 Picasa 的同步問題仍存在 2.3.4 版本內。

測試報告內使用了 Android 2.1（Nexus One）、Android 2.2（HTC Desire、Nexus One）、Android 2.2.1（HTC Incredible S）、Android 2.3.3（Nexus One）、Android 2.3.4（HTC Desire、Nexus One），以及平版電腦專用的 Android 3.0（Motorola XOOM）等版本進行研究，並將內容鎖定在使用者最常更新的原生 Google 日曆、Google 聯絡人以及 Gallery apps（或各家提供的同步服務）。

之所以被認定有 99％ 的 Android 系統存在潛藏的被駭危機，在於研究報告中發現目前市面上搭載 Android 作業系統的行動裝置，仍多屬 2.3.3 以前版本，僅有 1％ 搭載了 2.3.4 和 3.0 以後版本。基於 Android 開源提供各方廠商使用，版本使用不同且不見得每家都提供升級服務（或是不會提供到最新版本），在眾多現實環境的狀態下，Android 使用者除了將可升級的裝置完成更新外，就是在外使用無線網路環境時，需當心不明訊號，以行動保護自己。

一般可在室外擷取的無線網路訊號，不見得每個都來自於可被信任的提供者所釋出，基於有軟體／技術，可在無線網路環境截取沒有受到 https 加密技術上網的連線者帳戶權限。基本上在無法確認無線訊號提供者前，不建議使用者為了一時連線方便，任意使用這些來路不明的提供端訊號（不然就請使用加密傳輸資料）。當然，現在的 Android 2.3.3 以前版本的使用者，更需要注意。目前 Google 尚未針對此事發表意見。


德國原稿: 取自 www.uni-ulm.de 內有詳細的wireshark封包節錄證據.


就等 google 回應了~