
Android研究人员发现了一种方法,可以在开放的WiFi网络上捕捉Google的ClientLogin认证协议,然后用它在谷歌的所有服务上冒充他人,而不仅仅是日历和联系人。德国乌尔姆大学(University of Ulm)的研究人员巴斯蒂安·克宁斯(Bastian Könings)、詹斯·尼克尔斯(Jens Nickels)和弗洛里安·朔布(Florian Schaub)知道在开放的Wifi网络上使用安卓智能手机存在风险,他们想看看他们是否可以对所有谷歌服务发起冒充攻击。他们发现了一个类似于在Android手机2.3.3和更早版本上窃取网站会话cookie(或者称为侧劫持)的攻击。从他们的博客为了大规模收集此类authotoken,敌方可以使用未加密无线网络的公共SSID(邪恶孪生体)设置wifi接入点,例如T-Mobile、attwifi、starbucks。在默认设置下,wayosddos攻击防御,Android手机会自动连接到先前已知的网络,许多应用程序会立即尝试同步。虽然同步将失败(除非对手转发请求),但对手将为尝试同步的每个服务捕获authtoken。由于AuthToken的生命周期较长,对手可以轻松地捕获大量令牌,并在以后从不同的位置使用它们。此漏洞的影响范围从泄漏到日历数据的个人信息丢失。对于联系信息,高防cdn价格,最强防御cc,其他人的私人信息也会受到影响,可能包括电话号码、家庭地址和电子邮件地址。除了窃取这些信息外,windows防御ddos,对手还可以在用户不注意的情况下执行细微的更改。例如,对手可能会更改受害者老板或业务伙伴的电子邮件地址,希望收到与他们的业务有关的敏感或机密材料。具有讽刺意味的是,防御ddos攻击的免费工具,该漏洞影响到所有尚未更新到姜饼2.3.4版本的安卓智能手机用户——具有讽刺意味的是,目前几乎没有安卓手机有姜饼。运营商需要为Android用户找到升级到最新、最棒的操作系统的方法。随着我们对移动设备越来越多的服务的信任,我们应该不时地应用安全更新。在aCNN关于这一点的文章,Mocana的首席执行官阿德里安·特纳(Adrian Turner)表示,"我们认为没有足够的主动投资来应对这些威胁。你首先要避免漏油。"
版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/60591.html