Android应用导致信息泄漏 影响超95%用户

德国的研究者表示，Android应用程序会导致个人信息流出，攻击者能够利用漏洞对信息进行监听与窜改。

德国的研究者表示，美国Google公司为搭载Android的设备提供的日历，电话簿应用程序，在信息传输过程中没有进行加密，第三方能够对情报进行监听和窜改。搭载Android系统的智能手机有99.7%正受到这个漏洞的影响。

根据德国乌尔姆大学的研究者公开的情报，这个漏洞是Google Calendar，Google Contacts等使用“ClientLogin”认证协议的应用程序中，通过没有加密的HTTP连接来交换认证令牌（authToken）而导致。这将使得通过公共场所的无线LAN能简单地监听到他人情报。

攻击者使用监听到的认证，不仅能够访问日历或通讯录等个人信息，还能在不被引起用户注意的基础上窜改和删除信息。

实际上，研究者对搭载Android的2.1/2.2/2.2.1/2.3.3/2.3.4/3.0版本的设备，测试攻击原生的Google Calendar，Google Contacts和Gallery等应用程序。结果表明，到Android 2.3.3之前的版本，Calendar和Contacts应用程序的网络请求都是通过HTTP没有加密地传输，很容易受到authToken攻击。

Android 2.3.4以后的Calendar和Contacts应用程序改为使用安全的HTTS连接，但网络相册Picasa等同步服务还是使用HTTP。

不仅标准的Android应用程序，该漏洞也波及到了使用经HTTP传输的ClientLogin认证Google服务的桌面应用程序。