Luka w Androidzie naraża dane użytkownika

Korzystanie z niektórych aplikacji Androida w niezabezpieczonych sieciach Wi-Fi niesie ze sobą ryzyko kradzieży tokenów uwierzytelniających. Haker może ich użyć, by przeglądać kontakty, kalendarz, emaile i inne prywatne informacje.

Naukowcy z Uniwersytetu w Ulm odkryli, że najbardziej zagrożone są systemy Android 2.3.3 i starsze. Niestety luką objętych jest 99,7 proc. urządzeń z mobilnym systemem Google.

Problem dotyczy aplikacji uzyskujących dostęp do serwisów Google za pomocą protokołu uwierzytelniającego ClientLogin. Korzystają z niego m.in natywny kalendarz, kontakty czy galeria. Aplikacje takie proszą o token uwierzytelniający z serwisu Google i jest on ważny przez dwa tygodnie.

Zobacz również:

  • Jeszcze kurz nie opadł, a Qualcomm już zapowiada nowe CPU

Niebezpieczeństwo pojawia się, gdy zapytanie o token wysyłane jest z nieszyfrowanego połączenia. Wtedy haker może go przejąć i przy jego pomocy oglądać, modyfikować oraz usuwać elementy, które znajdzie w kalendarzu, kontaktach, galerii użytkownika lub innych miejscach.

W Androidzie 2.3.4 kalendarz i kontakty korzystają już z szyfrowanego połączenia HTTPS, ale galeria, która łączy się z sieciowym albumem zdjęciowym Picasa, ciągle stosuje niezabezpieczone HTTP. Również i ta wersja systemu jest zagrożona, ale w mniejszym stopniu.

Zalecenia naukowców

  • Dla deweloperów: w tworzonych aplikacjach do kierowania zapytań o tokeny uwierzytelniające należy stosować połączenia HTTPS
  • Dla Google: Wskazane jest skrócenie czasu ważności tokenów i odrzucanie zapytań pochodzących z niezabezpieczonych połączeń HTTP
  • Dla użytkowników: Zalecana jest aktualizacja do wersji 2.3.4, a także wyłączenie automatycznej synchronizacji z sieciami Wi-Fi. Należy unikać niezabezpieczonych sieci tego typu podczas używania narażonych aplikacji

Więcej szczegółów na stronie Uniwersytetu w Ulm (tekst w języku angielskim).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200