|
С подавляющего большинства смартфонов, работающих на мобильной операционной системе Google Android, могут быть легко похищены учетные данные, которые используются для доступа к онлайн-сервисам поискового гиганта. Выоская уязвимость «гуглофонов» для кибератак связана связана с некорректной работой протокола авторизации ClientLogin версиях Android 2.3.3 и ниже.
После того как пользователь отправляет свои учетные данные на сервисы Google, ClientLogin получает жетон авторизации (authToken), который в течение двух недель хранится на устройстве в виде обычного текста. Как удалось выяснить исследователям из немецкого Университета Ульма, этот незашифрованный файл могут прочитать злоумышленники для несанкционированного доступа к аккаунту пользователя.
В феврале были найдены аналогичные «дыры» в системе безопасности Android, через которые хакеры могли получить данные для доступа в Facebook, Twitter и Google Календарь. Такие атаки могут быть проведены, если устройство используется в незащищенных сетях (к примеру, если оно подключено через публичный хот-спот Wi-Fi).
Ранее в мае Google устранила эту уязвимость, выпустив «заплатку» вместе с Android 2.3.4, однако эта версия, а также 3.0 (Honeycomb), вероятно, по-прежнему передает конфиденциальные данные через незашифрованные каналы, полагают исследователи. Учитывая собственную статистику Google, это значит, что для атак уязвимы более 99% Android-смартфонов, пишет в The Register.
Исследователи полагают, что те приложения, которые используют ClientLogin, должны немедленно перейти на зашифрованный протокол https (либо сделать выбор в пользу более надежного протокола oAuth). Специалисты также советуют уменьшить срок хранения жетонов авторизации и отклонять запросы ClientLogin на небезопасные соединения по http-каналу.
| |