（蕭諤）北京時間5月18日消息，據(jù)國外媒體報道，德國研究人員發(fā)現(xiàn)，幾乎所有的Andr​​oid手機(jī)（99.7%）都存在重大的驗證漏洞，使黑客可通過未加密的無線網(wǎng)絡(luò)竊取用戶的數(shù)字證書。
研究人員稱，黑客可以使用這些證書訪問用戶的谷歌日歷、聯(lián)系人和其他應(yīng)用程序。這個安全漏洞令谷歌特別尷尬，因為其很容易被發(fā)現(xiàn)。漏洞存在于Android 2.3.3或更早版本谷歌系統(tǒng)中的ClientLogin驗證協(xié)議。
通常，應(yīng)用程序使用該協(xié)議需要包含用戶谷歌帳戶證書的認(rèn)證令牌（authToken），authToken可以重復(fù)使用兩個星期。但研究人員發(fā)現(xiàn)，使用未加密的HTTP連接和開放的無線網(wǎng)絡(luò)，黑客很容易獲得用戶的authToken。
德國烏爾姆大學(xué)的巴斯蒂安·科寧（Bastian Könings）、揚(yáng)·尼克爾（Jens Nickels）和佛羅里安·紹布（Florian Schaub）稱，authToken與特定的用戶群或設(shè)備無關(guān)，這意味著黑客可以利用authToken改變用戶的谷歌聯(lián)系人、日常安排和訪問任何依賴于ClientLogin的其他應(yīng)用程序。
好消息是，Android 2.3.4及以后版本的系統(tǒng)已解決了大部分問題，只有與Picasa同步時可能存在一些問題，但谷歌顯然在解決。壞消息是，大多數(shù)Android用戶使用的是易受攻擊的舊版系統(tǒng)，Android制造商和運(yùn)營商仍未及時更新。
研究人員稱，用戶應(yīng)避免使用無加密的Wi-Fi網(wǎng)絡(luò)，如果必須使用這種連接到，需關(guān)掉Android的自動同步設(shè)置。他們還建議，應(yīng)用程序開發(fā)者應(yīng)轉(zhuǎn)到更安全的HTTPS ClientLogin認(rèn)證協(xié)議，谷歌應(yīng)嚴(yán)格限制authToken的使用時間。