一组计算机科学研究者发现，正在被1亿8千5百万名用户使用的安卓应用可能会将用户的网银和社交网站证书暴露在危险之中。还有用户的电子邮件和即时通讯内容。

研究者们来自德国汉诺威莱布尼茨大学。经他们鉴定，在 Google Play 中有41个应用会在数据在服务器和手机终端间流通时泄漏敏感信息。研究人员们再制作了一个 app，并在局域网 中进行了使用，然后用已经被他们发现的安全漏洞来获取机密的信息。在 Ars Technica 上的报道称：

“我们可以收集到银行个人信息，PayPal，美国运通卡和其他支付服务的证书。不仅如此，Facebook，电子邮件以及云储存的证书还有短信息也可能泄漏，网络摄像头权限可以被攻破，应用程序的控制信道和远程服务器也能够被破坏。”

研究者们还没有最终确认到底是哪些应用程序出了问题，不过他们注意到其中有一些的下载量已经高达1亿8千5百万次。不过研究者们仍然给出了一些线索：

某杀毒软件在连接网络，接收最新恶意软件特征码时会接收无效的证书。研究小组利用了这种信任机制，成功地在应用程序中加入了自己的恶意签名。
某安装量在1百万至5百万之间的应用，号称是从云储存中上传和下载最“简单和安全”的方法。但是这个应用的登录证书却可能被窃取。
某“跨平台的短信应用”，安装量在1000万至5000万之间。用户的电话号码可能通过通讯簿被暴露。

转自 keep_beating @ 2012.10.22 , 06:34 pm , 4,406 pv
       http://jandan.net/2012/10/22/massive-encryption-faults.html

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课