網(wǎng)易科技訊4月8日消息,據(jù)國(guó)外媒體報(bào)道,想象一下一家銀行里有兩名員工,一名是處理財(cái)務(wù)敏感信息的分析師而另一名是負(fù)責(zé)溝通的通訊員。他們看起來(lái)在各司其職:分析師在分析財(cái)務(wù)數(shù)據(jù)而通訊員在負(fù)責(zé)與外界的溝通。但實(shí)際上他們?cè)谧鲂┎环ü串?dāng):分析師悄悄將一些財(cái)務(wù)秘密交給通訊員,他們合謀將其轉(zhuǎn)給競(jìng)爭(zhēng)對(duì)手。
現(xiàn)在,假設(shè)銀行是你的Andriod智能手機(jī),員工是手機(jī)中的應(yīng)用程序,而敏感信息則是關(guān)于你的精確定位。
就像上述兩名員工一樣,安裝在同一臺(tái)Andriod智能手機(jī)上的成對(duì)應(yīng)用程序能夠輕易提取出用戶的敏感信息,且很難被檢測(cè)到。目前對(duì)于安全研究人員來(lái)說(shuō),弄清單個(gè)應(yīng)用程序是否會(huì)收集用戶敏感信息并秘密發(fā)送至某個(gè)服務(wù)器比較簡(jiǎn)單。但當(dāng)兩個(gè)應(yīng)用程序組合起來(lái)發(fā)送敏感信息的話,就比較隱秘了。由于Andriod應(yīng)用程序的數(shù)量巨大,弄清不同應(yīng)用程序組合情況下是否存在竊取用戶敏感信息,也是一項(xiàng)非常艱巨的任務(wù)。
本周發(fā)布的一項(xiàng)新研究開(kāi)發(fā)出解決此類問(wèn)題的新方法,該研究也發(fā)現(xiàn),超過(guò)20000對(duì)應(yīng)用程序組合存在用戶數(shù)據(jù)泄漏問(wèn)題。據(jù)悉,弗吉尼亞理工大學(xué)的四名研究人員開(kāi)發(fā)了一個(gè)系統(tǒng),通過(guò)此深入研究了Andriod應(yīng)用程序架構(gòu),以及這些應(yīng)用程序如何在同一部手機(jī)上與其他應(yīng)用程序交換信息。這一名為DIALDroid的系統(tǒng)能夠模擬手機(jī)應(yīng)用程序之間的信息交互,弄清不同應(yīng)用程序之間的組合是否會(huì)泄漏用戶敏感信息。
當(dāng)研究人員利用DIALDroid系統(tǒng)分析了使用頻率較高的100206個(gè)Andriod應(yīng)用程序后,他們發(fā)現(xiàn)近23500對(duì)應(yīng)用程序組合存在泄漏數(shù)據(jù)問(wèn)題,其中超過(guò)16700對(duì)應(yīng)用程序組合存在越權(quán)升級(jí)問(wèn)題,這意味著在這些應(yīng)用程序組合中,其中一個(gè)應(yīng)用程序能夠接受那些通常會(huì)被禁止訪問(wèn)的敏感信息。
該研究列舉了一個(gè)為用戶提供禱告時(shí)間的應(yīng)用程序。其能夠檢索用戶所在的位置,并將其開(kāi)放給手機(jī)上的其他應(yīng)用程序。據(jù)研究,有逾1500個(gè)應(yīng)用程序如果和該應(yīng)用安裝在同一部手機(jī)上時(shí),都能夠獲取該應(yīng)用發(fā)送的手機(jī)位置,而其中有39個(gè)應(yīng)用程序會(huì)將該位置信息發(fā)送出去,存在泄漏信息的危險(xiǎn)性。
雖然單個(gè)應(yīng)用程序的漏洞并不大,但相互聯(lián)系在一起之后,其信息泄漏的危險(xiǎn)性就大大增加。而有問(wèn)題的應(yīng)用程序組合涵蓋了從娛樂(lè)、運(yùn)動(dòng)到攝影等生活方方面面。
當(dāng)然,研究人員指出,在大多數(shù)情況,這種應(yīng)用程序組合造成的信息泄漏并不是故意而為。但畢竟會(huì)對(duì)用戶造成一定的危害。
在某些情況下,應(yīng)用程序組合中的其中一個(gè)會(huì)有惡意情況。例如這種惡意應(yīng)用程序會(huì)利用另一個(gè)應(yīng)用程序的安全漏洞來(lái)竊取數(shù)據(jù)并將相關(guān)信息發(fā)送至遠(yuǎn)程服務(wù)器。在大多數(shù)情況下,信息泄漏主要是因?yàn)閮蓚€(gè)應(yīng)用程序設(shè)計(jì)不當(dāng),使得相關(guān)數(shù)據(jù)能夠從一個(gè)應(yīng)用流向另一個(gè)應(yīng)用,然后再被這個(gè)應(yīng)用發(fā)送至手機(jī)日志文件。
研究發(fā)現(xiàn),智能手機(jī)位置更容易泄漏。當(dāng)研究人員在分析泄露數(shù)據(jù)的最終流向時(shí),他們發(fā)現(xiàn)將近一半存在漏洞的應(yīng)用會(huì)將敏感數(shù)據(jù)發(fā)送至日志文件。通常這些記錄的信息僅僅適用于創(chuàng)建日志文件的應(yīng)用,但很多網(wǎng)絡(luò)攻擊能夠從日志文件中提取數(shù)據(jù)。更有甚者,很多應(yīng)用程序組合會(huì)通過(guò)互聯(lián)網(wǎng)或者SMS方式發(fā)送數(shù)據(jù)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 后人工智能時(shí)代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動(dòng)
- 2025年展望:人工智能推動(dòng)IT整合
- 量子計(jì)算:商業(yè)世界的新前沿與設(shè)計(jì)思維的融合
- IDC:三季度全球以太網(wǎng)交換機(jī)收入同比下降7.9%、環(huán)比增長(zhǎng)6.6%
- Fortinet李宏凱:2025年在中國(guó)大陸啟動(dòng)SASE PoP節(jié)點(diǎn)部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬(wàn)
- 央國(guó)企采購(gòu)管理升級(jí),合合信息旗下啟信慧眼以科技破局難點(diǎn)
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)投資超過(guò)26億美元
- 調(diào)查報(bào)告:AI與云重塑IT格局,77%的IT領(lǐng)導(dǎo)者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。