英國 The Register 網站指出,採用 Android 2.3.3 或較舊版本的手機都存在著一個保安漏洞,駭客有可能獲取你的 Google 登入認証。
當 Android 連上和登入 Google 時,就會獲分派一個 14 日有效期的 Tokens,並儲存於手機內,用作方便手機往後的登入。不過 Tokens 在傳輸時是以非加密方式進行,只要駭客在傳輸期間讀取這個 tokens,就可以用作登入你的 Google 帳戶。
甚麼情形下會被盜取資料?
就是當你的手機接上沒有加密的網絡,例如一些在咖啡室,書店讓公眾使用的 Wifi 網絡都沒有加密的。駭客其中一個做法就是,開放一個假的 Wifi 連接點,當你的手機連接上假 Wifi,手機進行同步時,駭客就可以藉機讀取你的登入資料。
簡單應對
這個保安漏洞是要手機接上沒有加密的網絡,才會出現問題。所以,最簡單的應對方法,就是不使用沒有加密的網絡,這樣已經沒有問題了。
而 Google 方面已知悉有關問題,並已在 Android 2.3.4 和 Honeycomb 上作出修正。至於其他 Android 版本的修正,就仍在製作中。
其實,類似的情況在很多軟件上也有可能出現。一些 Apps 可能需要登入 Login 才可使用,但這些登入 Login 資料往往只以 Plain Text 傳輸。所以,應避免使用沒有加密的網絡。
資料來源:The Reigster via Android Police