sick_android
Poważną lukę w zabezpieczeniach Androida do wersji 2.3.3 włącznie odkryło trzech niemieckich specjalistów ds. zabezpieczeń z uniwersytetu w Ulm. Jak podaje strona uniwersytetu, luka występuje podczas autoryzowania aplikacji poprzez protokół autoryzacji o nazwie ClientLogin. Wynika z tego fakt, że na atak narażone są nie tylko aplikacje Google, takie jak Kalendarz czy Kontakty, ale wszystkie aplikacje, które używają ClientLogin do autoryzacji.

Further, the attack is not limited to Google Calendar and Contacts, but is theoretically feasible with all Google services using the ClientLogin authentication protocol for access to its data APIs.

Atak odbywa się poprzez skanowanie i przechwycenie pakietów autoryzacyjnych (tzw. tokenów) w sieciach WiFi. Pakiety te, nie dość, że nie są przypisane do konkretnego urządzenia (można się nimi posłużyć na każdym innym sprzęcie), to jeszcze przesyłane są zwykłym (nieszyfrowanym) tekstem i mają ważność przez kilka dni (token dla Google Kalendarza – 14 dni!).

Google wie już o tej luce i od Androida w wersji 2.3.4 wzwyż taki problem nie istnieje. Nie wiadomo jak będzie wyglądała sytuacja ze starszymi urządzeniami. Proponowane przez wspomnianych specjalistów rozwiązania tego problemu to: oczywiście aktualizacja Androida do najnowszej wersji lub wyłączenie automatycznej synchronizacji danych z usług Google podczasa korzystania z otwartych sieci WiFi.

AKTUALIZACJA (z dedykacją dla archeologów): Android wstępnie załatany

źródło: http://www.uni-ulm.de

Google News
Obserwuj ANDROID.COM.PL w Google News i bądź zawsze na bieżąco!
Obserwuj

Mateusz Jabłoński