您现在的位置:新闻首页>预测分析

第三方代码导致数百万应用程序存在泄露个人数据的风险

2018-05-08 15:58编辑:新特彩票网人气:


  在分析流行的约会应用时,卡巴斯基实验室研究人员发现有些应用通过不安全的HTTP协议传输未加密的用户数据,造成用户数据泄露的风险。这是因为很多应用使用了第三方的可以随时投递广告的SDK,而这些SDK则是一些最流行的广告网络的一部分。涉及的应用包括一些全球安装量有数十亿的应用,一旦出现严重的安全漏洞,意味着隐私数据可能被拦截、修改并用于进一步攻击,导致很多用户无法防御。

  

第三方代码导致数百万应用程序存在泄露个人数据的风险

  SDK是一套开发工具,通常免费发行,能够让软件作者专注于应用的主要元素,将其他功能交给现成的SDK来完成。开发热源经常使用第三方代码,通过重新使用现有的功能来创建部分应用来节省时间。例如,广告SDK会收集用户数据以显示相关广告,这样能够帮助开发人员让自己的产品变现。该工具会将用户数据发送到流行的广告网络域名,以便进行更具针对性的广告展示。

  但是对一些应用程序的深度分析显示,这些数据是通过HTTP协议在未加密的形式下发送的,这意味着其在传输到服务器时未得到保护。由于没有加密,数据可能被任何人拦截,例如通过未受保护的Wi-Fi网络,或者被互联网服务提供商拦截,或者通过家用路由器上的恶意软件拦截。更糟的是,截获的数据还能够被更改,意味着应用程序会显示恶意广告,而非合法广告。引诱用户下载推广的应用程序,而这些程序可能是恶意软件,从而导致用户面临风险。

  卡巴斯基实验室研究人员在内部的安卓沙盒中检测了应用程序的日志和网络流量,以揭示哪些应用程序通过HTTP将未加密的用户数据传输到网络。他们发现了多个主要域名,其中大多数都属于常见广告网络的一部分。使用这种SDK的应用程序总数达到几十亿,其中大多数应用程序会以未加密的方式传输以下至少一项数据:

  ·个人信息,大多包括用户的姓名、年龄和性别。有些甚至还包括用户的收入。用户的电话号码和邮箱地址也可能泄露(根据卡巴斯基实验室的另一项研究,人们会在约会应用上分享很多个人信息)。

  ·设备信息,例如设备的制造商、型号、屏幕分辨率、系统版本以及应用名称

  ·设备位置

  卡巴斯基实验室安全研究员Roman Unuchek说:“最初我们认为只是一些设计粗心的应用程序存在这一情况,但真正受影响的应用程序规模让人难以置信。数百万使用了第三方SDK的应用暴露用户隐私数据,很容易被拦截或修改,从而导致恶意软件感染、敲诈和其它高效的攻击媒介”。

  卡巴斯基实验室研究人员建议用户采取以下措施:

  ·检查所使用应用的权限。如果不了解这些应用,请不要赋予它们访问权限。大多数应用不需要访问你的地理位置信息,所以不要赋予它们这些权限。

  ·使用VPN。它会对您的设备和服务器之间的网络流量进行加密。但是,其在VPN服务器上面仍是未加密的,但是至少降低了此过程中的数据泄露风险。

(来源:网络整理)

织梦二维码生成器
已推荐
0
  • 凡本网注明"来源:的所有作品,版权均属于中,转载请必须注明中,http://www.xthosp.com。违反者本网将追究相关法律责任。
  • 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
  • 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。






图说新闻

更多>>
男子守机选号一年中1592万 工地干活头发愁白

男子守机选号一年中1592万 工地干活头发愁白



返回首页