Poważna luka wykryta w Androidzie

Poważną lukę w zabezpieczeniach Androida do wersji 2.3.3 włącznie odkryło trzech niemieckich specjalistów ds. zabezpieczeń z uniwersytetu w Ulm.

Jak podaje strona uniwersytetu, luka występuje podczas autoryzowania aplikacji poprzez protokół autoryzacji o nazwie ClientLogin. Wynika z tego fakt, że na atak narażone są nie tylko aplikacje Google, takie jak Kalendarz czy Kontakty, ale wszystkie aplikacje, które używają API ClientLogin do autoryzacji.

Atak odbywa się poprzez skanowanie i przechwycenie pakietów autoryzacyjnych (tzw. tokenów) w sieciach WiFi. Pakiety te, nie dość, że nie są przypisane do konkretnego urządzenia (można się nimi posłużyć na każdym innym sprzęcie), to jeszcze przesyłane są zwykłym (nieszyfrowanym) tekstem i mają ważność przez kilka dni (token dla Google Kalendarza – aż 14 dni!).

Google wie już o tej luce i od Androida w wersji 2.3.4 wzwyż taki problem nie istnieje. Nie wiadomo jak będzie wyglądała sytuacja ze starszymi urządzeniami. Proponowane przez wspomnianych specjalistów rozwiązania tego problemu to: aktualizacja Androida do najnowszej wersji lub wyłączenie automatycznej synchronizacji danych z usług Google podczasa korzystania z otwartych sieci WiFi.

Źródło: uni-ulm.de