目前主流的手机操作系统就只有Android和IOS,目前在全球至少有十亿以上的用户在使用着这两个操作系统。
近期黑客们又发现了一款可以针对Android和IOS的巨大的数字库漏洞,而在这之前他们已经演示了进入破解电脑系统。黑客利用这些漏洞可以直接远程登录任何Android和IOS的个人账户。在入侵演示中,黑客们演示了通过远程操控分别登陆了Android和IOS用户的新浪与Facebook的现有账户与第三方登陆。在这个登陆的过程中黑客能够登录手机上的说有应用程序而不需要输入用户名和密码。
当用户使用自己的手机登录第三方程序之后,设备会自动使用ID检测来对 应用程序进行检查。就比如Facebook或者新浪微博他们都有自己的正确的验证信息,这样的话系统就会有来自Facebook或者新浪微博的信息,当系统收到这样的信息之后并且通过验证之后就会给他们可以访问的权限,一旦这个访问权限发出之后,用户就可以进行登录,在进行验证完成登陆,而这一套完成之后在系统内部就会有记录登录凭证,而黑客就是利用这些系统记忆进入你的手机内部窃取出这些资料完成对你的手机登陆。理论上只要你手机做过的事情他都会记录下来,而这些信息都可能会被黑客窃取。
而Android有着数量庞大的开发商,他们不会在用户每次登录的时候都发出ID检测,并且检测这些ID信息的有效性与真实性,这也为黑客的入侵创造了便利。
验证连接到用户的认证信息的OAuth信息(访问令牌)来验证用户是否和标识提供者有联系的,应用程序服务器将只检查来自ID提供程序检索用户ID。由于这种错误,远程黑客可以下载脆弱的应用程序,登录自己的信息,然后改变自己的用户名,他们希望通过设置服务器修改来自Facebook,谷歌或其他标识提供者发送的数据到目标(其中黑客可以猜测或谷歌)的个体。一旦完成,这将授予在应用中保存的数据的窥探总量控制。如果黑客闯入受害者的旅行应用程序,他们可以了解受害人的时间表; 如果闯进了酒店预订的应用程序,他们可以预定他们的房间,并有被害人的薪酬; 或者干脆窃取受害者的个人资料,如住址或银行的详细信息。
在黑客的攻击面前我们与Android和IOS都一样都是被攻击的弱势群体,如果诱惑力足够大的话黑客们完全可以提取劫持全球超过10亿用户的资料。