Luka w Androidzie naraża dane użytkownika
- IDG News Service,
- 18.05.2011, godz. 10:45
Korzystanie z niektórych aplikacji Androida w niezabezpieczonych sieciach Wi-Fi niesie ze sobą ryzyko kradzieży tokenów uwierzytelniających. Haker może ich użyć, by przeglądać kontakty, kalendarz, emaile i inne prywatne informacje.
Polecamy:
Zobacz też:
Problem dotyczy aplikacji uzyskujących dostęp do serwisów Google za pomocą protokołu uwierzytelniającego ClientLogin. Korzystają z niego m.in natywny kalendarz, kontakty czy galeria. Aplikacje takie proszą o token uwierzytelniający z serwisu Google i jest on ważny przez dwa tygodnie.
Zobacz również:
Niebezpieczeństwo pojawia się, gdy zapytanie o token wysyłane jest z nieszyfrowanego połączenia. Wtedy haker może go przejąć i przy jego pomocy oglądać, modyfikować oraz usuwać elementy, które znajdzie w kalendarzu, kontaktach, galerii użytkownika lub innych miejscach.
W Androidzie 2.3.4 kalendarz i kontakty korzystają już z szyfrowanego połączenia HTTPS, ale galeria, która łączy się z sieciowym albumem zdjęciowym Picasa, ciągle stosuje niezabezpieczone HTTP. Również i ta wersja systemu jest zagrożona, ale w mniejszym stopniu.
Zalecenia naukowców
- Dla deweloperów: w tworzonych aplikacjach do kierowania zapytań o tokeny uwierzytelniające należy stosować połączenia HTTPS
- Dla Google: Wskazane jest skrócenie czasu ważności tokenów i odrzucanie zapytań pochodzących z niezabezpieczonych połączeń HTTP
- Dla użytkowników: Zalecana jest aktualizacja do wersji 2.3.4, a także wyłączenie automatycznej synchronizacji z sieciami Wi-Fi. Należy unikać niezabezpieczonych sieci tego typu podczas używania narażonych aplikacji
Więcej szczegółów na stronie Uniwersytetu w Ulm (tekst w języku angielskim).