99% Android手机存在密码失窃漏洞

据英国科技网站The Register报道，德国乌尔姆大学的研究学者在对Android平台的安全性进行研究后发现，99%的Android手机都存在密码容易失窃的漏洞。

研究发现，Android平台存在一个漏洞，在用户输入受密码保护的服务的身份凭证以后，黑客就能通过这个漏洞收集和使用手机用户存储的数字标识符。这个问题看起来与一种名为“ClientLogin”的身份验证协议有关，该协议现存在于Android 2.3.3及以前版本中，也就是说，大多数Android手机都存在这个漏洞。

研究指出，在用户输入Twitter、Facebook或谷歌日历(Google Calendar)等服务的身份凭证后，程序界面会检索一个用于身份验证的数字标识符，“由于这个标识符能在这些服务的任何后续请求中被使用多14天的缘故，黑客可利用标识符来登陆用户账户”。

谷歌已经发布了一个补丁来解决ClientLogin协议的问题，但这个补丁仅可用于Android 2.3.4和Android 3.0，这意味着大约99%的Android手机无法使用这个补丁。

谷歌官方至今未对这一状况发布正式的声明。