根据来自AppBugs的一份分析报告,有14款安卓应用软件在社交登陆方式上存在严重安全漏洞,这些应用软件合计下载量至少在8000万次左右。
AppBugs发现不同类型的安卓应用都存在这一问题。这些应用软件全部使用社交登陆,其中包括了谷歌,微软,Facebook,Twitter和其他类似社交账号。
比如,Astro File Manager会“暴露”用户的微软账号,目前这款应用软件在谷歌GooglePlay中的下载量为5000万至1亿次。MeituPic应用同样“暴露”了用户Facebook,百度和人人网账号,这款应用在Google Play中的下载量为1000万至5000万之间。另一款流行新闻应用gReader则完全“暴露”了用户所有社交账号,其中包括Facebook, 谷歌, Twitter, 微软和Evernote等,它的下载量在100万至500万次之间。
AppBugs表示,这一问题是由这14款应用软件处理SSL(安全套接层)认证方式中存在的漏洞引起的,黑客可能会使用伪造SSL认证和自己的服务器来获取用户登录权限。
AppBugs首席技术官兼创始人Rui Wang 表示,这些应用中存在的安全漏洞并不是一种因素引起的。“这些应用或可能使用了存在漏洞的社交库,或者使用了存在漏洞的代码。也有可能是开发者自己改变了社交库,并因此产生漏洞。”Rui Wang表示。
AppBugs 称他们已经在过去四个月逐个联系了这14款应用软件开发商,但是大部分还没有做出任何回应。截至目前,只有Foxit MobilePDF 开发商修复了此问题。安全专家表示,应用软件直接以纯文本形式传输用户用户名和密码的现象很普遍。很多应用软件开发商并没有更高级的安全技术,通常在不知情的情况下会把漏洞写进自己的代码中。
以下是AppBugs 发现的存在上述漏洞的14款应用软件:MeituPic,Astro File Manager with Cloud,gReader,Windows Live Hotmail Push Mail,JustUnFollow,Brother iPrint & Scan,Software Data Cable,FriendCaster Chat,PrintHand Mobile Print,Phone for Google Voice & GTalk,Instachat,InstaMessage,InstaG,FoxIt MobilePDF。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。