研究称Andriod应用会组团泄漏用户数据

来源:移动信息化  
2017/4/10 15:46:02
想象一下一家银行里有两名员工,一名是处理财务敏感信息的分析师而另一名是负责沟通的通讯员。他们看起来在各司其职:分析师在分析财务数据而通讯员在负责与外界的沟通。但实际上他们在做些不法勾当:分析师悄悄将一些财务秘密交给通讯员,他们合谋将其转给竞争对手。


本文关键字: Andriod 数据泄漏

想象一下一家银行里有两名员工,一名是处理财务敏感信息的分析师而另一名是负责沟通的通讯员。他们看起来在各司其职:分析师在分析财务数据而通讯员在负责与外界的沟通。但实际上他们在做些不法勾当:分析师悄悄将一些财务秘密交给通讯员,他们合谋将其转给竞争对手。


NJnAnuF.jpg

现在,假设银行是你的Andriod智能手机,员工是手机中的应用程序,而敏感信息则是关于你的精确定位。

就像上述两名员工一样,安装在同一台Andriod智能手机上的成对应用程序能够轻易提取出用户的敏感信息,且很难被检测到。目前对于安全研究人员来说,弄清单个应用程序是否会收集用户敏感信息并秘密发送至某个比较简单。但当两个应用程序组合起来发送敏感信息的话,就比较隐秘了。由于Andriod应用程序的数量巨大,弄清不同应用程序组合情况下是否存在窃取用户敏感信息,也是一项非常艰巨的任务。

本周发布的一项新研究开发出解决此类问题的新方法,该研究也发现,超过20000对应用程序组合存在用户数据泄漏问题。据悉,弗吉尼亚理工大学的四名研究人员开发了一个系统,通过此深入研究了Andriod应用程序架构,以及这些应用程序如何在同一部手机上与其他应用程序交换信息。这一名为DIALDroid的系统能够模拟手机应用程序之间的信息交互,弄清不同应用程序之间的组合是否会泄漏用户敏感信息。

当研究人员利用DIALDroid系统分析了使用频率较高的100206个Andriod应用程序后,他们发现近23500对应用程序组合存在泄漏数据问题,其中超过16700对应用程序组合存在越权升级问题,这意味着在这些应用程序组合中,其中一个应用程序能够接受那些通常会被禁止访问的敏感信息。

该研究列举了一个为用户提供祷告时间的应用程序。其能够检索用户所在的位置,并将其开放给手机上的其他应用程序。据研究,有逾1500个应用程序如果和该应用安装在同一部手机上时,都能够获取该应用发送的手机位置,而其中有39个应用程序会将该位置信息发送出去,存在泄漏信息的危险性。

虽然单个应用程序的漏洞并不大,但相互联系在一起之后,其信息泄漏的危险性就大大增加。而有问题的应用程序组合涵盖了从娱乐、运动到摄影等生活方方面面。

当然,研究人员指出,在大多数情况,这种应用程序组合造成的信息泄漏并不是故意而为。但毕竟会对用户造成一定的危害。

在某些情况下,应用程序组合中的其中一个会有恶意情况。例如这种恶意应用程序会利用另一个应用程序的安全漏洞来窃取数据并将相关信息发送至远程服务器。在大多数情况下,信息泄漏主要是因为两个应用程序设计不当,使得相关数据能够从一个应用流向另一个应用,然后再被这个应用发送至手机日志文件。

研究发现,智能手机位置更容易泄漏。当研究人员在分析泄露数据的最终流向时,他们发现将近一半存在漏洞的应用会将敏感数据发送至日志文件。通常这些记录的信息仅仅适用于创建日志文件的应用,但很多网络攻击能够从日志文件中提取数据。更有甚者,很多应用程序组合会通过互联网或者SMS方式发送数据。

责编:畅享精灵
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
进口鲜 玩转海鲜O2O

上海进鲜实业成立于2014年12月30日,其创办的O2O平台“进口鲜”专注于为消费者提供高品质的海鲜产品。在短短一年不..

首届优秀信息化产品及信息化最佳实..

.mod_B_1{background:rgba(0, 0, 0, 0) url("//www.iqiam.com/bacohome/2015/cio..

    专家专栏
    李浩实现与PLM协同工作的三维零部件数据资源平..

    目前国内外不少企业和研究单位在建设完成以三维CAD、PDM系统为核心的产品研发平台建设后,将目光投向零部件数据资..

    AMT咨询浅析集团型企业的信息化商业价值

    国内管理咨询公司AMT信息化建设专家提出下几点关于集团型企业信息化商业价值“营销”推进的方式

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map