Luka w Androidzie naraża dane użytkownika
Korzystanie z niektórych aplikacji Androida w niezabezpieczonych sieciach Wi-Fi niesie ze sobą ryzyko kradzieży tokenów uwierzytelniających. Haker może ich użyć, by przeglądać kontakty, kalendarz, emaile i inne prywatne informacje.
Luka Androida związana jest z systemem uzyskiwania tokenów uwierzytelniających
Polecamy:
Zobacz też:
Problem dotyczy aplikacji uzyskujących dostęp do serwisów Google za pomocą protokołu uwierzytelniającego ClientLogin. Korzystają z niego m.in natywny kalendarz, kontakty czy galeria. Aplikacje takie proszą o token uwierzytelniający z serwisu Google i jest on ważny przez dwa tygodnie.
Niebezpieczeństwo pojawia się, gdy zapytanie o token wysyłane jest z nieszyfrowanego połączenia. Wtedy haker może go przejąć i przy jego pomocy oglądać, modyfikować oraz usuwać elementy, które znajdzie w kalendarzu, kontaktach, galerii użytkownika lub innych miejscach.
W Androidzie 2.3.4 kalendarz i kontakty korzystają już z szyfrowanego połączenia HTTPS, ale galeria, która łączy się z sieciowym albumem zdjęciowym Picasa, ciągle stosuje niezabezpieczone HTTP. Również i ta wersja systemu jest zagrożona, ale w mniejszym stopniu.
Zalecenia naukowców
- Dla deweloperów: w tworzonych aplikacjach do kierowania zapytań o tokeny uwierzytelniające należy stosować połączenia HTTPS
- Dla Google: Wskazane jest skrócenie czasu ważności tokenów i odrzucanie zapytań pochodzących z niezabezpieczonych połączeń HTTP
- Dla użytkowników: Zalecana jest aktualizacja do wersji 2.3.4, a także wyłączenie automatycznej synchronizacji z sieciami Wi-Fi. Należy unikać niezabezpieczonych sieci tego typu podczas używania narażonych aplikacji
Więcej szczegółów na stronie Uniwersytetu w Ulm (tekst w języku angielskim).
Komentarze (1)
Zapisanie pinu na karteczce do karty płatniczej jest dla złodzieja gratką, podobnie z telefonami i siecią najlepszy system nie zabezpieczy nas przed bezmyślnością.
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...