Takmer všetky telefóny Android "úniku" citlivé osobné údaje, testy ukazujú - Android - 2018

Anonim

Ochrana súkromia spoločnosti Google sa práve zhoršila. Podľa štúdie výskumníkov na nemeckej univerzite môže viac ako 99 percent všetkých inteligentných telefónov, ktoré prevádzkujú operačný systém Google Android, môže ľahko preniknúť mobilnými hackermi. Útočníci potom môžu používať údaje, ktoré "unikli", aby sa zosobňovali oprávneného používateľa a aby pristupovali k online účtom, ako sú Kalendár Google, Twitter a Facebook.

Podľa vedcov University of Ulm, Bastian Konings, Jens Nickels a Florian Schaub, je zraniteľnosť systému Android spôsobená nesprávnou implementáciou protokolu ClientLogin, ktorý sa používa v verzii Android 2.3.3 a starších, správy The Register . Keď používateľ predloží svoje prihlasovacie informácie, ClientLogin obdrží autentifikačný token, ktorý sa odošle ako súbor jasného textu. Pretože autentifikačný token (authToken) môže byť použitý opakovane až na 14 dní, hackeri môžu pristupovať k informáciám uloženým v súbore a použiť ich na to, aby robili svoje falošné ponúkanie cien.

"Chceli by sme vedieť, či je skutočne možné spustiť útok na zosobnenie proti službám Google a začať našu vlastnú analýzu, " píšu výskumníci na svojom blogu. "Krátka odpoveď je: Áno, je to možné a je to dosť jednoduché. Okrem toho nie je útok obmedzený iba na Kalendár Google a Kontakty, ale je teoreticky uskutočniteľný so všetkými službami Google, ktoré používajú protokol na overenie klientskeho rozhrania ClientLogin na prístup k údajovým API. "

Akokoľvek zlé to znie - naozaj je - pre používateľov Android, tento typ útoku môže byť vedený iba vtedy, keď zariadenie Android používa nezabezpečenú sieť, ako je hotspot Wi-Fi, na odosielanie údajov. Vedci tvrdia, že hacker by mohol taký útok napadnúť, keď je zariadenie pripojené k sieti, ktorá je pod ich kontrolou.

"Ak chcete zbierať takýto authTokens vo veľkom merítku, protivník by mohol nastaviť WiFi prístupový bod so spoločným SSID (zlo dvojča) nešifrovanej bezdrôtovej siete, napr. T-Mobile, attwifi, starbucks, " píšu vedci. "S predvolenými nastaveniami sa telefóny s Androidom automaticky pripájajú k už známej sieti a mnohé aplikácie sa okamžite pokúsia o synchronizáciu. Kým synchronizácia zlyhá (pokiaľ protivník neodovzdá žiadosti), protivník by zachytil authTokens pre každú službu, ktorá sa pokúsila o synchronizáciu. "

Výskumníci navrhujú niekoľko spôsobov, ako tento problém vyriešiť, pre vývojárov aplikácií, používateľov Google a Android. Vývojári, ktorých aplikácie používajú službu ClientLogin, by mali okamžite prejsť na https, "hovoria výskumníci. Spoločnosť Google by mala obmedziť životnosť autentifikačného tokenu a obmedziť automatické pripojenie iba na chránené siete. Používatelia Android by mali čo najskôr aktualizovať svoje zariadenia na verziu 2.3.4, ako aj vypnúť automatickú synchronizáciu pri pripojení k Wi-Fi alebo úplne vyhnúť nezabezpečeným sieťam Wi-Fi.