2011/5/22

Google 修正 Android ClientLogin 安全缺失

Android這次被找出的安全漏洞是有關於ClientLogin功能,這個漏洞讓有心人士可以截取伺服器發出的token,讓駭客可以取得「日曆」、「聯絡人」以及其他Android Google services的使用權。還好這個漏洞可以在伺服器端修正就可以了,不然要修正已經售出使用的幾百萬台Android智慧電話還真是個大工程。

Google確認會在今天開始分階段完成這個修補,先修正了「日曆」以及「聯絡人」的問題,使用者甚至不會察覺到任何改變,但是Picasa上的問題還沒有修正,也沒有進一步修正的跡象。

除了在伺服器端修補之外,Android 2.3.4智慧電話上的「日曆」以及「聯絡人」已經修正了這個問題(現在用這個版本的人還不到百分之一吧?!),而且Picasa的問題到現在為止還是沒能解決。

引用自:http://android.cool3c.com/article/46299 (Google確認Android安全漏洞,今天開始修補 - Android中文資源站)


只要聯繫上社會網路或者數據網路,隱私權就不能100%的保留,
有人覺得自己個人資料保護的很好,其實不然,只是自我感覺良好,
凡走下必留痕跡,你的MAC Address一直在往外丟。
電信公司那麼多用戶資訊,電話都不要用了嗎?
差別在於獲得這些資訊的組織拿來幹了甚麼?
往好的方面做,甚至可以幫助警方破案。

因為我是資訊工作者,不可能不用數據網路,
我對於個人基本資料隱私的態度是don't care,否則做起事來綁手綁腳。
但是對於有關「錢」的部份我會特別小心,例如銀行,信用卡號,證卷戶以及拍賣網站,
我都會用獨立的帳號密碼,會在自己電腦使用經過金鑰加密技術的方式傳輸。
其他雜七雜八的網站帳號就算被盜,衝擊也不大。

雖然如此,但也尊重其他大大對自己資料隱私的堅持。
最後強調「社會網路」或者「數據網路」到處都有個人資訊在傳播。



如果我沒有搞錯的話,由封包分析儀的抓圖來看,就是HTTP改成https的issue。
修正的確很快,只是在http原網頁導向到https,或別的方案。
如果真的是這樣,大家真的用放大鏡在檢視google。

大家抬頭看一下網址列,看看現在是用甚麼協定?
如果您再到會員中心,進入修改會員資料,會發生甚麼問題,
就是您的個人資料被用HTTP傳送。

全世界這樣的網站有多少?

再來就是

加不加密對效能的差異以及甚麼樣的資料需要加密?

有錯請各位大大指導,謝謝您。

沒有留言:

張貼留言