趋势网(微博)讯: 作为安卓系统安全问题主要的问题之一,一个CTO和一个顾问发现Whats App加密的一个缺陷是会允许另外一个应用程序侵入并阅读用户手机里所有的对话内容。
CTO Bas Bosschert已经发帖子贴出了自己独特的通过捷径侵入Whats App聊天内容的方法,并且证明即使昨天安卓系统刚进行了全面大升级更新,这一缺陷仍然存在。
以下是它怎么做的:
安卓系统的Whats App将对话内容存储在手机的SD卡里,这样是可被手机里其他应用程序利用的,只要用户给了这些app所需要的信息许可(许多app要求知道手机的全部信息)。这是超过Whats App的巨大漏洞严重性更多地安卓的一个基本的问题。
从那里,一个恶意的应用程序可以侵入Whats App的对话数据库。精明的用户将会发现这几乎不上黑客侵入而更是一个安卓沙盒数据系统的大问题(豆腐渣工程)。
Bosschert创建了一个配套应用将它试验了出来,然后用了一个可爱的加载屏幕图案来吸引用户而同时数据库里的文件信息正在被下载。
在最新的发布中显示,Whats App已经开始在那些将数据库加密到那些不能被SQLite打开的点,但Bosschert报告里说到他可以用自己的Python脚本解密数据库。
黑客攻击的一步步过程向导可以在此找到。(链接: http://bas.bosschert.nl/steal-whats.app-database/#comment-3)
Facebook正在很确定地提高Whats App的安全性,将在接下来的几个月花费119亿元去探测。但是同样,这又带来了安卓系统悬而未决的公共基础设施问题。
在安卓的系统里,任何安装在智能手机上有捷径的应用程序,它们中许多都能通过其他应用程序将数据下载到第三方那里。
通过比较,苹果系统不允许自己沙盒以外的任何数据的接近,这样阻止了像上述一样的通过你的虚拟程序来修补数据的恶意开发商的存在。
之前国内还有一些人呼吁取消安检,这下纽约地铁就是反面教材,回旋镖虽迟但到。