研究人員稱，黑客可以使用這些證書(shū)訪問(wèn)用戶的谷歌日歷、聯(lián)系人和其他應(yīng)用程序。這個(gè)安全漏洞令谷歌特別尷尬，因?yàn)槠浜苋菀妆话l(fā)現(xiàn)。漏洞存在于Android 2.3.3或更早版本谷歌系統(tǒng)中的ClientLogin驗(yàn)證協(xié)議。

    通常，應(yīng)用程序使用該協(xié)議需要包含用戶谷歌帳戶證書(shū)的認(rèn)證令牌（authToken），authToken可以重復(fù)使用兩個(gè)星期。但研究人員發(fā)現(xiàn)，使用未加密的HTTP連接和開(kāi)放的無(wú)線網(wǎng)絡(luò)，黑客很容易獲得用戶的authToken。

    德國(guó)烏爾姆大學(xué)的巴斯蒂安·科寧（Bastian K nings）、揚(yáng)·尼克爾（Jens Nickels）和佛羅里安·紹布（Florian Schaub）稱，authToken與特定的用戶群或設(shè)備無(wú)關(guān)，這意味著黑客可以利用authToken改變用戶的谷歌聯(lián)系人、日常安排和訪問(wèn)任何依賴于ClientLogin的其他應(yīng)用程序。

    好消息是，Android 2.3.4及以后版本的系統(tǒng)已解決了大部分問(wèn)題，只有與Picasa同步時(shí)可能存在一些問(wèn)題，但谷歌顯然在解決。壞消息是，大多數(shù)Android用戶使用的是易受攻擊的舊版系統(tǒng)，Android制造商和運(yùn)營(yíng)商仍未及時(shí)更新。

    研究人員稱，用戶應(yīng)避免使用無(wú)加密的Wi-Fi網(wǎng)絡(luò)，如果必須使用這種連接到，需關(guān)掉Android的自動(dòng)同步設(shè)置。他們還建議，應(yīng)用程序開(kāi)發(fā)者應(yīng)轉(zhuǎn)到更安全的HTTPS ClientLogin認(rèn)證協(xié)議，谷歌應(yīng)嚴(yán)格限制authToken的使用時(shí)間。