研究人員近來發現Google Play商店中有應用程式有錯誤的加密,防毒應用程式因為SSL防護不足,駭客可以輕易下載惡意病毒憑證。
Android市集的程式已經有1.85億使用者下載,這些使用者的網路銀行資料、社交網站資料、電子郵件與即時訊息內容都暴露在危險中。
研究人員從Google Play 市集中下載了1萬3千5百項免費應用程式後透過靜態均衡分析發現共41項應用程式持續洩漏敏感資訊,其中以冰淇淋三明治版本的作業系統為甚,只要將此版本的手機連上WLAN,科學家就能輕鬆打破安全機制,顯示SSL與TLS協議有問題,因此所有網站與使用者間的憑證都受到影響。
對此,Google發言系統拒絕回應,畢竟所謂的41項應用程式並未被點名,也沒有證據顯示這些脆弱的應用程式是由Google直接開發。
值得注意的是,這些安全漏洞包括接受未驗證內容的防毒應用程式、某應用程式的付費過程洩漏登入帳密資訊、某頗受歡迎的Web 2.0應用程式在使用者登入其他網站時會洩漏Facebook與Google帳戶個資、某使用者高達5000萬人的跨平台通訊應用程式會洩漏使用者通訊錄中的所有電話號碼等。
