logo_rusverlag

Исследователи из Ульмского университета (Германия) обнаружили уязвимость, связанную с ненадлежащим применением аутентификационного протокола ClientLogin в  операционной системе Android версии 2.3.3, а также в более ранних версиях этой мобильной операционной системы от Google.

После того как пользователь предоставляет достоверные учетные данные для Google Calendar, Twitter, Facebook или некоторых других аккаунтов, программный интерфейс извлекает authTokens – цифровой „ключ пользователя“, который отправляется в незашифрованном виде. Поскольку этот идентификатор может использоваться до 14 дней в любых последующих запросах о предоставлении услуг, злоумышленники могут эксплуатировать его для получения несанкционированного доступа к аккаунтам пользователей.

Злоумышленники вполне способны разместить свою открытую точку доступа, „замаскировав“ ее под другую беспроводную сеть, отмечают эксперты. С настройками по умолчанию телефоны с Android автоматически устанавливают соединение с ранее известной сетью, и многие приложения немедленно начинают совершать попытку синхронизации. Несмотря на то, что синхронизация не удастся (кроме тех случаев, когда преступник перенаправит запросы), злоумышленник может перехватить authToken для каждого сервиса, который осуществлял попытку синхронизации.

Таким образом, 99,7% мобильных устройств с Android на сегодня используют версии с известными недостатками безопасности. Многие клиенты крупнейшего американского оператора связи Verizon Wireless, например, по-прежнему продолжают использовать Android 2.2.2, несмотря на наличие уязвимостей о которых известно на протяжении нескольких месяцев.

Как сообщает сегодня компания Google, проблема с безопасностью закрыта. Ранее Google уже закрыла некоторые пробелы в безопасности при выпуске Android 2.3.4.

Источник: newsru.com

Werbung