扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNET至顶网安全频道 11月14日 编译:这篇文章要表述的是关于作者在使用装有安卓系统的华硕Eee Pad登录Google服务过程中发现的一些问题。这些问题可能会让我们对这一新产品产生一些新的感受和看法。
当作者试图用Google账户登录,但发现没有连接到网络上。作者的第一反应是要连接到公司的公共无线网络,但是发现部门刚换了办公区域,并且忘记了新的WPA2密码。于是,作者打开了他的Virgin Mobile Mi-Fi 2200个人接入点设备。然后作者在Eee Pad上查找热点列表,但是令作者意外的是, Eee Pad已经找到了Virgin 热点,并且已经成功接入了。难道说作者刚才已经选择过热点并输入了密码吗?答案肯定是不对的。
更进一步的研究让作者注意到了更多的问题,Eee Pad不止能自动发现并连接作者的Virgin Hotspot热点,甚至还列出了作者常用的其它热点名称,包括作者在野营地点(距离办公室车程45分钟) 所使用的WiFi热点,都出现在Eee Pad的热点列表里了。这个现象的唯一解释就是,Google不但存储了我们曾经访问过的热点名称,还将接入密码也一并保存起来了。
除了这个明显的关于个人隐私方面的问题外,还有一个潜在的问题。可能有人会想到,如果你使用了安卓应用程序,同时又使用了Google服务,那么你可能在不知情的状态下接受了安卓系统的这个隐藏功能。但是我们实际使用中,很多WiFi热点并不是我们自己建立的,其中相当一部分在使用时可能还需要附加特殊的条件,因此一般我们都不会将WiFi接入点密码告知第三方。这是一个很容易理解也是普遍存在的安全策略,但是好像Google对此毫不理会。
据了解,对于大部分安卓系统用户来说,都不太清楚该如何禁止安卓操作系统将WiFi接入点名称和密码发送到Google服务器进行备份,并在用户使用其它基于安卓系统的设备并登录Google账户后自动同步这些数据。如果真是如此,那么Google留给用户的路只有两条:要么不使用安卓设备登录加密的无线网络,要么违反加密网络的协议,将密码与Google共享。而对于那些无线接入点的管理者来说,最直接的反应可能就是禁止那些采用安卓系统的设备接入网络。比如公司采用的是带有密码保护的无线网络,如果任何员工使用的安卓设备都可以将无线网的密码发送给Google,那绝对是公司网络管理者不能接受的情况。如果要制定拒绝登录的策略,那么所针对的绝不仅限于外来人员,而是包括了大部分公司自己的员工。
最近在一些博客上我们可以看到,很多网民认为未来的生活是建立在Facebook, Google,以及Apple公司所制定的各种规则之下的,而这将使得原本在微软帝国统治时期最黑暗的日子看起来也显得仁慈而且不那么黑暗了,因为诸如Facebook, Google等公司在对待个人隐私问题上暴露出了比微软更多更严重的问题。我们认为这些担忧是有根据的,并且这种担忧如果不得到解决,会出现严重的安全问题。试想一下,如果有不法分子通过安卓设备自动接入了我们所在公司的网络,所带来的损失是无法估量的。从这个问题也能看出Google的工程师,程序员以及项目主管在处理企业敏感信息和个人隐私数据的保护上缺乏基本的认知。公平的讲,如果只能选择一种数据不被采集,备份或在不同设备间同步,那这种数据就应该是密码。为此,我们不得不怀疑,Google到底还收集了哪些类型的数据,来帮助我们更好的体验google服务的“附加值”。
因为,这是Google的一个“功能”,而且这个功能确实很方便,尤其是对于那些不知道该保护隐私或愿意牺牲一部分隐私来换取更高的便利性的客户来说。而这也是让我们最为担心的。但是很多用户并不清楚这个便利性所带来的潜在风险。
对于Google的这种做法大家应该怎样看待呢?这会是一个无心之举吗?Google真的会由衷的为客户着想吗?是我们太过于放纵Google的行为,还是Google自己跨越了我们的底线?如果有读者发现事实并不像这篇文章中所说的那样,也可以在文章评论中说说你的看法。
虽然,目前我们所发现的这个问题只出现在了作者所购买的华硕Eee Pad Transformer上,而之前在其它的安卓设备上,还没有注意到有这样的问题。因此,我们同样可以怀疑这是安卓Honeycomb系统的新功能所致。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者