美國北卡羅萊州立大學電腦科學系的華人助理教授蔣旭憲(Xuxian Jiang)近日表示,他正在進行Android相關的研究計畫,發現去年11月由Thomas Cannon在Android 2.2所發現的、會導致資料外洩的漏洞,在Android 2.3版中並沒有被修好。
去年英國資安專家Cannon就曾表示Android內建的瀏覽器可能會被用來竊取使用者的檔案,當使用者開啟惡意網頁時,網頁會傳送惡意程式到SD記憶卡,然後再將記憶卡中的資料竊出。當時Cannon以採用Android 2.2的HTC Desire手機驗證了該漏洞。
雖然Cannon馬上將該漏洞提報給Google,同時Google也承諾會在Anroid 2.3中修補該漏洞,但蔣旭憲卻發現Google沒有完全修好該漏洞。
蔣旭憲表示,根據研究,Android 2.3中的修補程式並沒有完全修好該漏洞,仍舊可以被繞道入侵,他們以最新的Nexus S手機來實驗,發現仍然能夠開採該漏洞並竊取使用者資訊,包括可存取使用者在手機上安裝的應用程式列表,可上傳應用程式到遠端伺服器上,也能讀取或上傳使用者儲存於SD卡中的所有檔案。
不論Cannon或蔣旭憲都表示該漏洞僅會影響SD卡中所儲存的內容以及其他少數內容,目前尚未發現實際的攻擊行動。
蔣旭憲指出,他在通知Google的10分鐘內就得到回應,顯示Google非常認真看待此事,同時Google也決定會在下一代Android版本出爐前修補。(編譯/陳曉莉)
熱門新聞
2025-01-26
2025-01-26
2025-01-25
2025-01-24
2025-01-24
2025-01-26
Advertisement