The Register:99% Android手機存在密碼失竊漏洞

北京時間5月18日凌晨訊息，據英國科技網站The Register報導，德國烏爾姆大學的研究學者在對Android平臺的安全性進行研究後發現，99%的Android手機都存在密碼容易失竊的漏洞。

研究發現，Android平臺存在一個漏洞，在使用者輸入受密碼保護的服務的身份憑證以後，黑客就能通過這個漏洞收集和使用手機使用者儲存的數字識別符號。這個問題看起來與一種名為“ClientLogin”的身份驗證協議有關，該協議現存在於Android 2.3.3及以前版本中，也就是說，大多數Android手機都存在這個漏洞。

研究指出，在使用者輸入Twitter、Facebook或谷歌日曆(Google Calendar)等服務的身份憑證後，程式介面會檢索一個用於身份驗證的數字識別符號，“由於這個識別符號能在這些服務的任何後續請求中被使用最多14天的緣故，黑客可利用識別符號來登陸使用者賬戶”。

谷歌已經發布了一個補丁來解決ClientLogin協議的問題，但這個補丁僅可用於Android 2.3.4和Android 3.0，這意味著大約99%的Android手機無法使用這個補丁。

到目前為止，谷歌尚未就這一狀況釋出正式的宣告。