更新国安局知道你的Wi - Fi密码吗?Android备份可能会提供给他们

日期:2018-06-19 浏览:9

如果您在Android中使用Googles“备份我的数据”功能,您从智能手机或平板电脑访问的Wi - Fi网络的密码将以明文形式提供给任何能够访问数据的人。正如电子前沿基金会( EFF )一名员工7月12日提交的一份错误报告所暗示的那样,这使得NSA或FBI等机构可以大范围地进行收割。

“在Android中备份我的数据选项非常方便,”EFF的员工技术专家Micah Lee写道。“不过,这意味着要以明文形式向Google发送大量私人信息,包括密码。这一信息容易受到政府数据要求的影响。“

备份管理器应用程序将Android设备设置存储在Googles云中,与与设备配对的用户帐户相关联;备份管理器界面也是核心Android应用程序API的一部分,因此可以被其他Android应用程序使用。默认情况下,Nexus设备的备份处于打开状态,可以将MMS和SMS消息、浏览器书签、呼叫日志和系统设置(包括Wi - Fi密码)等数据推送到Googles云,以便在设备损坏、丢失或被盗时进行检索。“

”由于备份和恢复是一项非常有用的功能,而且默认情况下是打开的,“Lee写道,“很可能绝大多数Android用户都在将这些数据与他们的Google帐户同步。因为Android非常流行,所以Google很可能拥有世界上大多数受密码保护的Wi - Fi网络的明文Wi - Fi密码。“

这些Wi - Fi网络大部分也是由Google绘制的。因此,对于一个能够访问备份数据的组织来说,将Wi - Fi网络名称和密码与地理位置数据进行匹配将是相对微不足道的。结果将是目标用户所在位置的部分地图以及他或她的设备在其旅行中连接到的网络的访问。

Lee建议,这个隐私漏洞的一个简单解决方案是使用用户Google凭据或单独的同步密码加密备份内容。他补充说:「我认为,当Google可以在美国政府提出要求时,强迫使用者信任Google的明文密码是不合理的。」

更新: Google发言人今天在与Ars的对话中表示,备份数据是在设备传输过程中加密的,并提供了Google就此问题准备的以下声明:“我们可选的‘备份我的数据’功能,通过使用您的Google帐户和密码恢复您以前的一些设置,可以更轻松地切换到新的Android设备。这有助于您避免从头开始设置新设备的麻烦。在任何时候,您都可以禁用此功能,这将导致数据被擦除。这些数据是在传输过程中加密的,只有当用户与Google建立了认证连接并存储在Google数据中心时才能访问,Google数据中心具有强大的数字和物理攻击防护能力。“

发言人无法说明数据在传输过程中是如何加密的,也无法说明数据在静止时是如何安全的。