sick_android
Poważną lukę w zabezpieczeniach Androida do wersji 2.3.3 włącznie odkryło trzech niemieckich specjalistów ds. zabezpieczeń z uniwersytetu w Ulm. Jak podaje strona uniwersytetu, luka występuje podczas autoryzowania aplikacji poprzez protokół autoryzacji o nazwie ClientLogin. Wynika z tego fakt, że na atak narażone są nie tylko aplikacje Google, takie jak Kalendarz czy Kontakty, ale wszystkie aplikacje, które używają ClientLogin do autoryzacji.

Further, the attack is not limited to Google Calendar and Contacts, but is theoretically feasible with all Google services using the ClientLogin authentication protocol for access to its data APIs.

Nie przegap
Wywiad z CEO realme w Europie – Madhav Sheth zapowiada zmiany
Madhav Sheth
Nowy wiceprezes oraz CEO realme w Europie i Indiach, czyli Madhav Sheth, znalazł chwilę czasu dla nas i zgodził się odpowiedzieć na kilka pytań. Ostatnie dni dla marki były wyjątkowo zajęte, bo firma po raz pierwszy pojawiła się na międzynarodowych targach IFA w Berlinie. W związku z tym postanowiliśmy porozmawiać o planach na przyszłość, rozwoju […]

Atak odbywa się poprzez skanowanie i przechwycenie pakietów autoryzacyjnych (tzw. tokenów) w sieciach WiFi. Pakiety te, nie dość, że nie są przypisane do konkretnego urządzenia (można się nimi posłużyć na każdym innym sprzęcie), to jeszcze przesyłane są zwykłym (nieszyfrowanym) tekstem i mają ważność przez kilka dni (token dla Google Kalendarza – 14 dni!).

Google wie już o tej luce i od Androida w wersji 2.3.4 wzwyż taki problem nie istnieje. Nie wiadomo jak będzie wyglądała sytuacja ze starszymi urządzeniami. Proponowane przez wspomnianych specjalistów rozwiązania tego problemu to: oczywiście aktualizacja Androida do najnowszej wersji lub wyłączenie automatycznej synchronizacji danych z usług Google podczasa korzystania z otwartych sieci WiFi.

AKTUALIZACJA (z dedykacją dla archeologów): Android wstępnie załatany

źródło: http://www.uni-ulm.de

Mateusz Jabłoński