据美国加州大学戴维斯分校的研究人员称,为安卓智能手机开发的那些热门的短信、即时消息和微博应用程序中存在着安全漏洞,可能会暴露私人信息或是允许发布伪造的诈骗短信。
戴维斯分校计算机科学系教授苏振东说,他的研究团队已经将这些问题告知相关的应用程序开发人员,尽管并未收到任何回应。
该校研究生Dennis (Liang) Xu从安卓应用市场收集了约12万款免费应用程序,最终发现了这些安全漏洞。研究人员将最初的研究集中于目前在全球大约有500万用户的安卓平台。Xu 说,安卓同苹果的iOS平台完全不同,但iPhone应用程序也可能有类似的问题。
受害者必须首先下载一条恶意代码到自己的手机上。这条代码可能被伪装成一个有用的应用程序或者隐藏其中,抑或是连接到一个“钓鱼式”诈骗电子邮件或网页链接。然后,这条恶意代码就会入侵到脆弱的程序中。
这些程序容易被攻击是因为它们的开发人员不经意间将部分应该加密的代码公开了,Xu说。
“这是开发人员的错误。”Xu说,“这段代码本该是秘密的,但他们却把它公开了。”
苏振东 及Xu会同加州大学戴维斯分校的研究生Fangqi Sun和西安交通大学的访问学者Linfeng Liu一起发现,他们调查的应用程序中许多斗存在潜在的漏洞。他们仔细地查看了主要几个被发现出严重安全漏洞的应用程序。
例如,超级短信是一款目前很流行的短消息应用程序,它可以允许用户在一个私人的、密码保护的收件箱中存放一些短信。Xu发现,攻击者可以从这个应用程序中访问并读取到个人信息,包括“私人”短消息。
微信是一款当前在中国十分普及的即时通讯服务,类似雅虎和美国在线的即时信使。该服务程序通常在用户手机的后台运行,当收到信息时会推送通知。徐发现了一种可以让恶意代码关掉微信后台服务的方法,因而用户会认为该程序仍在工作,而事实上程序并没有工作。
新浪微博是一个非常受欢迎的微博服务平台,被形容为“中国的Twitter”。但是,Xu说,其安卓客户端很脆弱,恶意代码可以在上面伪造和发布欺诈信息。
研究人员已经向将于今年10月在印第安纳波利斯召开的2013“系统、编程、语言和应用:为人类所用的软件(SPLASH)”大会递交了此项研究的相关文章。
Media Resources
Andy Fell, Research news (emphasis: biological and physical sciences, and engineering), 530-752-4533, ahfell@ucdavis.edu