研究稱Andriod應用會組團泄漏用戶數(shù)據(jù)

網(wǎng)易科技訊4月8日消息，據(jù)國外媒體報道，想象一下一家銀行里有兩名員工，一名是處理財務敏感信息的分析師而另一名是負責溝通的通訊員。他們看起來在各司其職：分析師在分析財務數(shù)據(jù)而通訊員在負責與外界的溝通。但實際上他們在做些不法勾當：分析師悄悄將一些財務秘密交給通訊員，他們合謀將其轉(zhuǎn)給競爭對手。

現(xiàn)在，假設銀行是你的Andriod智能手機，員工是手機中的應用程序，而敏感信息則是關于你的精確定位。

就像上述兩名員工一樣，安裝在同一臺Andriod智能手機上的成對應用程序能夠輕易提取出用戶的敏感信息，且很難被檢測到。目前對于安全研究人員來說，弄清單個應用程序是否會收集用戶敏感信息并秘密發(fā)送至某個服務器比較簡單。但當兩個應用程序組合起來發(fā)送敏感信息的話，就比較隱秘了。由于Andriod應用程序的數(shù)量巨大，弄清不同應用程序組合情況下是否存在竊取用戶敏感信息，也是一項非常艱巨的任務。

本周發(fā)布的一項新研究開發(fā)出解決此類問題的新方法，該研究也發(fā)現(xiàn)，超過20000對應用程序組合存在用戶數(shù)據(jù)泄漏問題。據(jù)悉，弗吉尼亞理工大學的四名研究人員開發(fā)了一個系統(tǒng)，通過此深入研究了Andriod應用程序架構，以及這些應用程序如何在同一部手機上與其他應用程序交換信息。這一名為DIALDroid的系統(tǒng)能夠模擬手機應用程序之間的信息交互，弄清不同應用程序之間的組合是否會泄漏用戶敏感信息。

當研究人員利用DIALDroid系統(tǒng)分析了使用頻率較高的100206個Andriod應用程序后，他們發(fā)現(xiàn)近23500對應用程序組合存在泄漏數(shù)據(jù)問題，其中超過16700對應用程序組合存在越權升級問題，這意味著在這些應用程序組合中，其中一個應用程序能夠接受那些通常會被禁止訪問的敏感信息。

該研究列舉了一個為用戶提供禱告時間的應用程序。其能夠檢索用戶所在的位置，并將其開放給手機上的其他應用程序。據(jù)研究，有逾1500個應用程序如果和該應用安裝在同一部手機上時，都能夠獲取該應用發(fā)送的手機位置，而其中有39個應用程序會將該位置信息發(fā)送出去，存在泄漏信息的危險性。

雖然單個應用程序的漏洞并不大，但相互聯(lián)系在一起之后，其信息泄漏的危險性就大大增加。而有問題的應用程序組合涵蓋了從娛樂、運動到攝影等生活方方面面。

當然，研究人員指出，在大多數(shù)情況，這種應用程序組合造成的信息泄漏并不是故意而為。但畢竟會對用戶造成一定的危害。

在某些情況下，應用程序組合中的其中一個會有惡意情況。例如這種惡意應用程序會利用另一個應用程序的安全漏洞來竊取數(shù)據(jù)并將相關信息發(fā)送至遠程服務器。在大多數(shù)情況下，信息泄漏主要是因為兩個應用程序設計不當，使得相關數(shù)據(jù)能夠從一個應用流向另一個應用，然后再被這個應用發(fā)送至手機日志文件。

研究發(fā)現(xiàn)，智能手機位置更容易泄漏。當研究人員在分析泄露數(shù)據(jù)的最終流向時，他們發(fā)現(xiàn)將近一半存在漏洞的應用會將敏感數(shù)據(jù)發(fā)送至日志文件。通常這些記錄的信息僅僅適用于創(chuàng)建日志文件的應用，但很多網(wǎng)絡攻擊能夠從日志文件中提取數(shù)據(jù)。更有甚者，很多應用程序組合會通過互聯(lián)網(wǎng)或者SMS方式發(fā)送數(shù)據(jù)。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。