英国 The Register 网站指出,采用 Android 2.3.3 或较旧版本的手机都存在着一个保安漏洞,骇客有可能获取你的 Google 登入认証。
当 Android 连上和登入 Google 时,就会获分派一个 14 日有效期的 Tokens,并储存于手机内,用作方便手机往后的登入。不过 Tokens 在传输时是以非加密方式进行,只要骇客在传输期间读取这个 tokens,就可以用作登入你的 Google 帐户。
什么情形下会被盗取资料?
就是当你的手机接上没有加密的网络,例如一些在咖啡室,书店让公众使用的 Wifi 网络都没有加密的。骇客其中一个做法就是,开放一个假的 Wifi 连接点,当你的手机连接上假 Wifi,手机进行同步时,骇客就可以借机读取你的登入资料。
简单应对
这个保安漏洞是要手机接上没有加密的网络,才会出现问题。所以,最简单的应对方法,就是不使用没有加密的网络,这样已经没有问题了。
而 Google 方面已知悉有关问题,并已在 Android 2.3.4 和 Honeycomb 上作出修正。至于其他 Android 版本的修正,就仍在制作中。
其实,类似的情况在很多软件上也有可能出现。一些 Apps 可能需要登入 Login 才可使用,但这些登入 Login 资料往往只以 Plain Text 传输。所以,应避免使用没有加密的网络。
资料来源:The Reigster via Android Police