目前 99% 的Android手機將在不安全無線網路環境遭遇洩密危機

2011/05/19更新：根據「Google: Android security flaw now being fixed for all users - Computerworld Blogs」的報導，Google已經開始針對「所有Android系統與裝置」進行自動修復安全漏洞的更新，以解決Google日曆、聯絡人帳戶資料在未加密無線網路環境中容易洩漏的問題（但picasa部分似乎還存在問題）；這個更新對所有Android系統都有效（因為是從Google伺服器媏進行規則修正），用戶什麼都不用作，在未來幾天內就會自動完成所有修正。

（2011/05/18）這對於所有使用Android手機的朋友來說，都是一個必須知道的重要新聞。根據「99% of Android phones leak secret account credentials」一文的研究，Android 2.3.3以下的系統都包含一個安全漏洞，可能導致他人很容易的竊取到Android用戶的Google、Twitter、Facebook等帳戶資料。雖然Google在Android 2.3.4以上的版本修正了這個問題，但能夠使用最新版的用戶目前只有1%，也就是說，將有99%的Android用戶目前仍然必須面對這個安全漏洞。

關於技術性的說明，請參考上面一段引用的原文，或是參考數位時代的「中文譯文」。我這邊只具體的說明一下，用戶在什麼情況下會面臨帳戶密碼被竊取的危機？目前這個Android系統上的漏洞，會讓他人可以透過無線網路環境來獲取你的資料。所以，如果你是Android 2.3.3以下系統的用戶的話，現在開始應該要避免在「無法信任」、「來源不明」的無線網路環境中使用你的Android連線。

其實無線網路環境一直都是一個存在安全風險的地方，例如之前有一款電腦上的「Firesheep」套件，可以讓任何人透過無線網路環境，獲取其他使用同一個wifi連線，但是又沒有使用https加密上網的用戶的facebook等網路帳戶權限。

當然，如果是3G上網、家裡的無線網路，或者你明確知道無線網路的提供者是誰，並且確定可以信任的情況下，那你可以選擇相信無線網路的擁有者不會想竊取你的資料。然而，如果是路上隨便找到的Wi-Fi熱點，甚至咖啡店的Wi-Fi帳戶，但是你不能確定這是不是本尊？你不能確信該無線網路管理者是誰？有沒有問題？等情況下，起碼Android 2.3.3以下系統的用戶，現在還是不要使用不知名無線網路上網比較好。

 

除了避免在不知名Wi-Fi熱點上網外，我也建議大家關閉無線網路自動連線功能，避免Android自動的連上某些常去咖啡店、會議廳預設無線環境（因為你可能無法保證這些環境「每次」都值得信任）。

另外Lifehacker推薦了一個需要root才能使用的Android App：「安全隧道」，可以讓用戶在無線網路環境下強制加密傳輸資料，真的有需要在不知名Wi-Fi熱點上網的朋友，也可以考慮使用。

Android這樣的系統漏洞是很嚴重的，而Android手機因為品牌眾多，升級不統一所面臨的考驗，也具體的浮現了出來（這也是之前「iPhone 手機做不到的10個 Android 手機系統專屬特色功能」一文中很多朋友指出的Android缺點）。期待Google之前提到將要輔助各廠商快速升級新版本的承諾可以更具體的實踐，或者提供在重點安全性上是否可能有統一的安全更新，都將是Android現在必須解決的問題。