研究稱安卓手機應用APP會組團泄漏用戶數據

據國外媒體報道，想象一下一家銀行里有兩名員工，一名是處理財務敏感信息的分析師而另一名是負責溝通的通訊員。他們看起來在各司其職：分析師在分析財務數據而通訊員在負責與外界的溝通。但實際上他們在做些不法勾當：分析師悄悄將一些財務秘密交給通訊員，他們合謀將其轉給競爭對手。

現在，假設銀行是你的Andriod智能手機，員工是手機中的應用程序，而敏感信息則是關於你的精確定位。

就像上述兩名員工一樣，安裝在同一台Andriod智能手機上的成對應用程序能夠輕易提取出用戶的敏感信息，且很難被檢測到。目前對於安全研究人員來說，弄清單個應用程序是否會收集用戶敏感信息並秘密發送至某個伺服器比較簡單。但當兩個應用程序組合起來發送敏感信息的話，就比較隱秘了。由於Andriod應用程序的數量巨大，弄清不同應用程序組合情況下是否存在竊取用戶敏感信息，也是一項非常艱巨的任務。

本周發布的一項新研究開發出解決此類問題的新方法，該研究也發現，超過20000對應用程序組合存在用戶數據泄漏問題。據悉，弗吉尼亞理工大學的四名研究人員開發了一個系統，通過此深入研究了Andriod應用程序架構，以及這些應用程序如何在同一部手機上與其他應用程序交換信息。這一名為DIALDroid的系統能夠模擬手機應用程序之間的信息交互，弄清不同應用程序之間的組合是否會泄漏用戶敏感信息。

當研究人員利用DIALDroid系統分析了使用頻率較高的100206個Andriod應用程序后，他們發現近23500對應用程序組合存在泄漏數據問題，其中超過16700對應用程序組合存在越權升級問題，這意味著在這些應用程序組合中，其中一個應用程序能夠接受那些通常會被禁止訪問的敏感信息。

該研究列舉了一個為用戶提供禱告時間的應用程序。其能夠檢索用戶所在的位置，並將其開放給手機上的其他應用程序。據研究，有逾1500個應用程序如果和該應用安裝在同一部手機上時，都能夠獲取該應用發送的手機位置，而其中有39個應用程序會將該位置信息發送出去，存在泄漏信息的危險性。

雖然單個應用程序的漏洞並不大，但相互聯繫在一起之後，其信息泄漏的危險性就大大增加。而有問題的應用程序組合涵蓋了從娛樂、運動到攝影等生活方方面面。

當然，研究人員指出，在大多數情況，這種應用程序組合造成的信息泄漏並不是故意而為。但畢竟會對用戶造成一定的危害。

在某些情況下，應用程序組合中的其中一個會有惡意情況。例如這種惡意應用程序會利用另一個應用程序的安全漏洞來竊取數據並將相關信息發送至遠程伺服器。在大多數情況下，信息泄漏主要是因為兩個應用程序設計不當，使得相關數據能夠從一個應用流向另一個應用，然後再被這個應用發送至手機日誌文件。

研究發現，智能手機位置更容易泄漏。當研究人員在分析泄露數據的最終流向時，他們發現將近一半存在漏洞的應用會將敏感數據發送至日誌文件。通常這些記錄的信息僅僅適用於創建日誌文件的應用，但很多網路攻擊能夠從日誌文件中提取數據。更有甚者，很多應用程序組合會通過互聯網或者SMS方式發送數據。