智慧型手機驚傳安全漏洞，用戶個人資料已在不知不覺中被駭客盜取。美國研究員進行7款應用程式的安全性測試，其中Google電子郵件Gmail被成功入侵的機率高達9成以上，主要原因是應用程式共享手機記憶體所導致。

美國密西根大學與加州大學日前於聖地牙哥舉行的網路安全大會，公布這項研究結果。他們測試Android手機包括Hotels.com、WebMD 及亞馬遜等7款常見的應用程式，發現沒有一款能完全防止個資外洩，其中最難破解的亞馬遜，被破解成功率也高達48％，而破解率最高的竟是多數人常使用的Gmail，高達92％。

其他應用程式也有80％以上的破解率，個資安全令人擔憂。對此結果，Google發言人表示：「我們視第三方研究結果是改善Android、讓它更安全的來源之一。」

研究團隊也指出，這個安全漏洞是作業系統架構設計缺陷造成。所有應用程式共用手機記憶體，而惡意程式可藉此讀取其他程式的記憶體，盜取使用者資料，也就是藉由共享記憶體，使惡意程式獲得其他應用程式的資料，因此被入侵的前提之一，是使用者要安裝並啟動該惡意程式。

「在過去，我們假定應用程式之間幾乎不會彼此干涉，」研究人員錢志雲說，「已證實這個假設大錯特錯，一個應用程式可以顯著的干擾其他應用程式，並可能對使用者造成有害的後果。」網路安全分析師米契拉‧緬亭表示：「我認為這份研究報告可信度很高。如果研究人員或駭客鑽研得夠深，總會有方法破解並獲取應用程式中的任何資料。」

不過，也有一些智慧型手機專家並不認為這是嚴重的威脅，「此研究在理論上很有趣，不過在實際上要成功駭取資料前，要先處理很多步驟。」Android中央總編輯菲爾‧尼金森在推特上表示。

研究人員表示，自保最好的方法就是不要下載來路不明的應用程式，並刪除所有用不到的應用程式，才能盡可能避免自己的資料被駭客盜取。

      新聞來源：台灣醒報

7成的免費Android App存在漏洞 容易被攻擊！

• 2014-08-25 15:01:00　
• 回應

FireEye近日發表了一份調查報告，報告中指出近來Android最受歡迎的1000個App都存在一個共通點─「線上傳輸的SSL/TLS（註1）加密都存在漏洞」，可能會讓你的網路被中間人攻擊（註2）。





調查結果發現，全數1000個App裡，共有614個App都使用SSL/TLS進行加密，不過有73%沒有經過伺服器認證、8%的伺服器主機根本沒有認證，還有77%忽略了SSL的錯誤訊息。該公司的安全小組以中間人的攻擊方式，一一測試下載數量高的App，發現大致上都出現問題後，將調查結果通知他們，希望有問題的App推出新版本以加強安全性。

新聞資料：net-security、fireeye

<註>

1.SSL/TLS：SSL（Security Socket Layer）是一種廣泛運用在網際網路上的資料加密協定；TLS是SSL的下一代協定。

2. 中間人攻擊：攻擊者與通訊的兩端分別建立獨立的聯繫，並交換其所收到的資料，使通訊的兩端認為他們正在透過一個私密的連線與對方直接對話，但事實上整個會話都被攻擊者完全控制。

同場加映

不只是小米！這四個中國影音APP也有資安疑慮

LINE加強帳號安全 登入就收到系統提醒

廣告不實？最安全手機5分鐘就被ROOT！

中國政府視iPhone為國家安全威脅來源！

是誰偷打你的電話？Android系統暴露嚴重安全漏洞

          

• 新聞來源：APP01