BI 中文站 6 月 24 日报道
哥伦比亚大学的安全研究人员最近打造了一种工具,这种工具能够对谷歌应用商店 Google Play 的各个应用进行慢慢分析和挖掘,以查找是否存在安全问题。这种工具的工作方式就如何谷歌搜索挖掘和分析网络数据那样。
哥伦比亚大学研究人员打造的这款工具名为“PlayDrone”,旨在对谷歌应用商店以及上传到该商店的应用进行分析,从而保护安全系统,以避免这些安全系统遭受漏洞等安全问题的困扰。此工具的最终目标就是找到 Android 应用可能会出现的各种漏洞和安全问题。
功夫不负有心人。研究人员通过在 2013 年 6 月到 11 月期间对 100 多万款应用进行检测之后,最终发现了 Android 应用中广泛插播的漏洞问题,这一漏洞能够帮助黑客窃取用户的 Facebook 帐号,以及 Twitter、Bitly、Flickr、Foursquare、 Linkedin、Google+ 以及其它各种社交帐号。
应用开发者将他们的重要“秘密”信息植入了应用本身之中,就好像是写下了用户 ATM 卡的 PIN 那样,或者就好像是将用户 Facebook 密码发布在 Facebook 公共墙上那样。对用户而言,这种方法可能会非常方便用户存储此类密码信息,不过却非常不安全。大量的开发者甚至还将这些密码贴上了“秘密”或“隐私”等字样的标签。
客观地讲,这一问题并非由谷歌引起,而是由那些将应用张贴在 Google Play 商店的应用开发者所导致。事实上,研究人员也表明,谷歌已经通过使用 PlayDrone 扫描应用并告诫开发者移除相关的密码信息等方式阻止过这些问题。另外,研究人员也给了应用开发者数月的时间来修复这些问题,之后才将这一问题公布于众。
当然,这些问题本身并不可怕。最可怕的是,在上述安全问题被披露之后,一些应用仍然存在这些问题,而且一些应用开发者还迟迟不着手解决这一问题,因而,即使在去年 11 月份研究人员在警告了应用开发者并正式停止他们的研究项目之后,这一安全问题仍然存在于大量的 Android 应用之中。
据研究人员透露称,“例如,在 2013 年 6 月 22 日到 11 月 11 日期间,非常具有人气的 Airbnb 应用仍然包含着用户的谷歌、Facebook、LinkedIn、微软以及雅虎等相关社交服务帐号的密码。”研究人员曾利用这些密码信息查看了 Airbnb 用户的电子邮件、好友名单等信息。在研究人员将相关情况通知给 Facebook 之后,Facebook 就立即禁止 Airbnb 应用使用 Facebook 的用户登录许可。在此之后不久,Airbnb 又赶紧修复了其 Android 应用中的上述安全问题。
当然,一大好消息就是,谷歌在执行 Android 应用相关的安全制度方面,的确是越来越智能了。
相关文章