2011年5月18日 星期三

目前 99% 的Android手機將在不安全無線網路環境遭遇洩密危機

2011/05/19更新:根據「Google: Android security flaw now being fixed for all users - Computerworld Blogs」的報導,Google已經開始針對「所有Android系統與裝置」進行自動修復安全漏洞的更新,以解決Google日曆、聯絡人帳戶資料在未加密無線網路環境中容易洩漏的問題(但picasa部分似乎還存在問題);這個更新對所有Android系統都有效(因為是從Google伺服器媏進行規則修正),用戶什麼都不用作,在未來幾天內就會自動完成所有修正。

(2011/05/18)這對於所有使用Android手機的朋友來說,都是一個必須知道的重要新聞。根據「99% of Android phones leak secret account credentials」一文的研究,Android 2.3.3以下的系統都包含一個安全漏洞,可能導致他人很容易的竊取到Android用戶的Google、Twitter、Facebook等帳戶資料。雖然Google在Android 2.3.4以上的版本修正了這個問題,但能夠使用最新版的用戶目前只有1%,也就是說,將有99%的Android用戶目前仍然必須面對這個安全漏洞。

關於技術性的說明,請參考上面一段引用的原文,或是參考數位時代的「中文譯文」。我這邊只具體的說明一下,用戶在什麼情況下會面臨帳戶密碼被竊取的危機?目前這個Android系統上的漏洞,會讓他人可以透過無線網路環境來獲取你的資料。所以,如果你是Android 2.3.3以下系統的用戶的話,現在開始應該要避免在「無法信任」、「來源不明」的無線網路環境中使用你的Android連線。

其實無線網路環境一直都是一個存在安全風險的地方,例如之前有一款電腦上的「Firesheep」套件,可以讓任何人透過無線網路環境,獲取其他使用同一個wifi連線,但是又沒有使用https加密上網的用戶的facebook等網路帳戶權限。

當然,如果是3G上網、家裡的無線網路,或者你明確知道無線網路的提供者是誰,並且確定可以信任的情況下,那你可以選擇相信無線網路的擁有者不會想竊取你的資料。然而,如果是路上隨便找到的Wi-Fi熱點,甚至咖啡店的Wi-Fi帳戶,但是你不能確定這是不是本尊?你不能確信該無線網路管理者是誰?有沒有問題?等情況下,起碼Android 2.3.3以下系統的用戶,現在還是不要使用不知名無線網路上網比較好。

 

除了避免在不知名Wi-Fi熱點上網外,我也建議大家關閉無線網路自動連線功能,避免Android自動的連上某些常去咖啡店、會議廳預設無線環境(因為你可能無法保證這些環境「每次」都值得信任)。

另外Lifehacker推薦了一個需要root才能使用的Android App:「安全隧道」,可以讓用戶在無線網路環境下強制加密傳輸資料,真的有需要在不知名Wi-Fi熱點上網的朋友,也可以考慮使用。

Android這樣的系統漏洞是很嚴重的,而Android手機因為品牌眾多,升級不統一所面臨的考驗,也具體的浮現了出來(這也是之前「iPhone 手機做不到的10個 Android 手機系統專屬特色功能」一文中很多朋友指出的Android缺點)。期待Google之前提到將要輔助各廠商快速升級新版本的承諾可以更具體的實踐,或者提供在重點安全性上是否可能有統一的安全更新,都將是Android現在必須解決的問題。

27 則留言 :

  1. 這真是相當嚴重的問題。
    電信商限制手機韌體更新的措施在智慧型手機逐漸普及的情況下顯得不當。雖然自由度跟功能提昇許多,但是伴隨的安全性卻未必能夠在出廠時保證不會出錯。看看其他作業系統:Windows, Linux distro, Mac ... etc, 不斷釋出更新檔(patch)來維護系統。難道這些作業系統提供者是刻意製作出漏洞嗎?

    電信商如此維護自己的利益以至於損失顧客保護自我資料的權益,尤以美國電信商更甚。這種貪婪的行徑: 不但要賺取通話和資料的費用,連手機錢也要賺,實不敢恭維。倘若用戶因為這個漏洞受到損失,依循法律途徑尋求賠償時,電信商恐怕會諉卸給 Google。

    回覆刪除
  2. 其實無線的問題應該不是只有android有這樣的狀況吧?
    大部分開放的免費無線網路都是有可能被竊聽資料傳輸

    回覆刪除
  3. 不知是不是我解讀錯誤.....

    原文是在講用 google 的 ClientLogin 這個api 會有token 在無線網路環境下被竊取的問題!
    所以在無線網路下, 若剛好有裝置或網頁 使用這個 api 就有可能被竊取資料, 帳戶被假冒登入!

    基本上 所有的 notebook, smart phone 都有一樣的問題吧...
    之前還有一篇文章 是講wifi底下 抓到別人在使用facebook 然後成功抓到他的token 用他人帳號登入的...

    標題殺人????

    回覆刪除
  4. Android這次主要遭遇到的技術性問題
    是舊版本中帳戶資料存在「未加密」的漏洞
    會讓像是無線網路這樣環境下,更容易就獲取用戶資料

    回覆刪除
  5. @匿名:

    其實,原本文章的題目是「99%的Android手機有帳號安全漏洞」

    而我這篇文章其實就是想要強調那是在特定環境下才會出現的安全疑慮,
    所以特定加上原文所沒有的「不安全無線網路環境」這個限制條件,

    所以我這篇應該反而比較不是標題殺人吧~~
    主要是提醒大家在無線網路環境下使用的危險,而且確實在舊版本Android中是有這個危險啊

    回覆刪除
  6. 所以這是只有Android才有的漏洞. 還是Android被包括在這漏洞裡呢..?

    回覆刪除
  7. 今早看BBC也嚇到了!!!
    http://www.bbc.co.uk/news/technology-13422308
    趕快裝安全隧道!!!!!!

    回覆刪除
  8. 問題好像是在wifi路由器上
    共用路由器的其他使用者有可能可以反向連線到手機上
    (如果他能力夠強的話啦~)

    3.5G網路應該是沒問題的吧?

    回覆刪除
  9. @匿名:

    是Android上的漏洞,至於其他手機系統有沒有這樣的漏洞我則不清楚,

    我這篇文章是希望能從「解決方法」來說明,所以文章裡不去談技術問題(但有放參考連結),

    如果要用具體而非技術性的話來描述這個Android漏洞,
    我覺得可以這樣說:
    「Android裡有一個小地方忘記幫你把帳戶資料加密起來!!這會導致像是wifi環境下,別人找到這個漏痛就更容易直接竊取你的資料」

    就是這樣的意思~

    所以解決方法就是:
    1.避免在未知wifi環境下連線(然後等待系統升級)
    2.使用強制加密的app

    回覆刪除
  10. 安全隧道要如何使用呀???
    他叫我輸入SSH主機位址?那是啥???

    回覆刪除
  11. 我也沒用過XD 找找看網路上的教學吧

    回覆刪除
  12. 電信商限制手機韌體更新?
    台灣電信業者沒這麼強,不更新是手機商的決定.

    回覆刪除
  13. 讀完這篇文章,額外想到因為Opera是很多手機內建的瀏覽器,所以順便提出以下的經驗:

    1.最近幫多台電腦安裝Opera,其中遇到一次(就這麼唯一的一次),安裝完畢即將開啟主程式首頁前,會詢問用戶是否匿名傳送使用資訊幫助改善Opera,可以自由選擇是或否。

    2.在Opera安裝WOT,就算WOT的設定值取消在加密網頁運作的選項,同樣不影響在臉書內的正常使用,這點很有趣!?

    回覆刪除
  14. WOT確實有特別為臉書做設計
    (事實上WOT是臉書官方內部合作的惡意連結過濾機制)

    不知道是否是這原因

    回覆刪除
  15. 應該不是
    可能是在Opear上安裝的WOT有什麼bug所導致;
    因為WOT的圖示會經常在Opera的右上角無故消失,
    然後要自己去叫出來。

    回覆刪除
  16. 所以WOT的設定值取消在加密網頁運作的選項,
    同樣不影響在臉書內的正常使用。假設這是bug。

    回覆刪除
  17. 打廣告一下
    opera 11.11桌面版今天發佈了
    11.50 alpha中

    回覆刪除
  18. Swordfish
    http://my.opera.com/desktopteam/blog/

    回覆刪除
  19. 現在手機內藏大量個人資料,一旦洩漏可大可小。有些朋友可能認為Android沒有升級不要緊,反正現在甚麼2.2、2.3亦很夠用,這是非常錯誤的看法。手機升級不一定是新增功能,亦可能是更新或修改舊有系統的漏洞。如iOS的「老大哥門」,就能在短短幾周內釋出更新。只要不是JB的正常用戶可以快速解決。Android的升級亦如是,可惜手機商只想賣手機而不是推廣Android。甚麼?你的手機版本太低有漏洞?他們才不會提供更新,而是建議你買新的手機。更新系統,延長手機使用周期,用家就不需買新手機而享用新功能,令他們虧本了。只有不斷機海戰術,舊手機不提供升級,劃分「新手機」及「舊手機」的功能,才可以保證盈利。

    堅決不當手機商的白老鼠,所以Android再好用,我也不會列入考慮之列。像是這篇文章的問題,Google提供升級就可以解決,可是只要手機商不提供,用戶亦無法得益。即如之前I/O大會提出的十八個月保證升級,那是一年半以內的時間,真是太久。在如今訊息萬變的世代,十八個月足夠讓病毒變種十多次。當你好不容易有一次Android小升級時,所安裝的「新版本」恐怕又有漏洞發現,又要再等一年半載,簡直不切實際。

    回覆刪除
  20. 我贊同你大多數的說法

    不過所謂[18個月內]保證升級

    這個意思不是說,google今天推出新版,然後保證每一台手機在18個月以內會升級到新版

    而是說,在你購買手機後的18個月內,你可以更快的跟著google andorid推出的最新版本一起升級,google要保證的是每台新手機都有起碼一年半以上能獲得持續升級的服務

    回覆刪除
  21. 那個SSH主機我也不知道怎麼設定

    請教一下 就nb連上wifi的部份言 是不是只要有裝Tor就不用擔心這類問題呢 謝謝

    回覆刪除
  22. Tor的功能是改變、跳轉你目前的IP位置,達到身分上的匿名,
    但傳輸的資料本身在離開tor傳往目的網站的當下則不一定是有加密的。

    所以在wifi環境下,最需注意的還是有沒有使用加密傳輸,
    例如現在facebook、twitter、gmail等google服務都提供強制https加密連線的設定,就是防止用戶帳戶在登入時被竊聽資料,

    因此我覺得重點還是在登入網站時注意https連線,
    或者使用https everywhere等這類工具。

    回覆刪除
  23. 現在的智慧手機吃到飽費率,
    開機後就無時不刻的處在網路連線狀態,
    這樣整天二十四小時下來會有安全風險嗎?

    回覆刪除

相關文章: