创业公司doublethink cto巴斯·博斯奇特(bas bosschert)发现,android版移动聊天服务whatsapp的一个安全漏洞,导致其他应用可以访问和读取用户的所有聊天记录。
博斯奇特已经将使用这一漏洞的方法发布到网上,他还证实,在android进行了最新一次重大升级后,该漏洞依然存在。
该应用的模式大致如下:android版whatsapp将所有的聊天记录存储在手机的sd卡上,但其他应用也会申请sd卡的访问权限,一旦用户批准,这些应用便可获取whatsapp的聊天记录。而恶意应用则可以借助这一模式直接读取whatsapp的聊天数据库。
精通技术的用户或许会发现,该问题主要源于android的数据沙盒系统。博斯奇特已经开发了一款测试应用,可以在上传数据库文件的时候,使用一个可爱的加载屏幕来分散用户的注意。
在最近的升级后,whatsapp已经开始加密数据库,无法再用sqlite打开。但博斯奇特称,他还是可以用自己的phython脚本解密该数据库。
在斥资190亿美元收购whatsapp后,facebook显然会加强whatsapp的安全性。但此次问题却与android系统有关:在android上,任何应用都可以获得智能手机的全面存储权限,并可以读取并上传其他应用的数据库。
相比而言,苹果公司的ios不允许应用访问其自身沙盒之外的数据,从而避免了类似的情况发生。
![【MySQL数据库】数据库索引事务1.索引2.事务[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)