Ούτε η Google γλιτώνει από τα “σκάνδαλα” ασφαλείας, καθώς μια ομάδα Γερμανών ερευνητών του Πανεπιστημίου Ulm, ανακάλυψε ότι το 99.7% των συσκευών Android εμφανίζουν κενό ασφαλείας που επιτρέπει στους hackers να κλέψουν μέσω ανοικτών ασύρματων δικτύων τα ψηφιακά πιστοποιητικά του χρήστη...
με αποτέλεσμα να μπορούν να έχουν πρόσβαση στις υπηρεσίες Google Calendar, Contacts και οποιαδήποτε άλλη εφαρμογή βασίζεται στο ClientLogin!
Το κενό ασφαλείας εμφανίζεται στο πρωτόκολλο ClientLogin της Google, το οποίο χρησιμοποιούν οι εφαρμογές για να πιστοποιήσουν την ταυτότητα του χρήστη (authToken) μέσω του λογαριασμού Google που διαθέτει, με κάθε authToken να έχει διάρκεια “ζωής” δύο εβδομάδες.
Ωστόσο, σε περίπτωση που ο χρήστης είναι συνδεδεμένος σε ελεύθερο ασύρματο δίκτυο ή η αποστολή των authTokens γίνεται σε μη κωδικοποιημένη διεύθυνση HTTP, τότε οι πληροφορίες αυτές είναι απροστάτευτες!
Οι ερευνητές αναφέρουν ότι το πρόβλημα υφίσταται στις εκδόσεις Android 2.3.3 και παλαιότερες, όπερ σημαίνει ότι δυστυχώς η πλειοψηφία των χρηστών συσκευών Android είναι εκτεθειμένη! Η Google δηλώνει ότι το πρόβλημα θα διορθωθεί στις εκδόσεις Android 2.3.4 και έπειτα, αλλά η καθυστέρηση στη διάθεση των updates από κατασκευαστές και παρόχους, είναι μεγάλο μειονέκτημα.
Προς το παρόν, για να προστατευτείτε καλό θα είναι να αποφεύγετε τα ελεύθερα ασύρματα δίκτυα WiFi, ενώ εάν πρέπει να συνδεθείτε σε κάποιο, απενεργοποιείστε τον αυτόματο συγχρονισμό (σύνδεση) από τις ρυθμίσεις της συσκευής σας, έτσι ώστε να μη το “θυμάται” για την περίπτωση που έχετε ήδη δεχτεί επίθεση από κάποιον hacker.
Τέλος, συνιστάται στους προγραμματιστές να αναβαθμίσουν τις εφαρμογές τους στο πιο ασφαλές πρωτόκολλο HTTPS για την διαδικασία πιστοποίησης μέσω ClientLogin, όπως στην παρόμοια περίπτωση του Facebook, ενώ η Google θα πρέπει να περιορίσει ακόμα περισσότερο τη διάρκεια ζωής των authTokens.
Πηγή:techgear.gr
με αποτέλεσμα να μπορούν να έχουν πρόσβαση στις υπηρεσίες Google Calendar, Contacts και οποιαδήποτε άλλη εφαρμογή βασίζεται στο ClientLogin!
Το κενό ασφαλείας εμφανίζεται στο πρωτόκολλο ClientLogin της Google, το οποίο χρησιμοποιούν οι εφαρμογές για να πιστοποιήσουν την ταυτότητα του χρήστη (authToken) μέσω του λογαριασμού Google που διαθέτει, με κάθε authToken να έχει διάρκεια “ζωής” δύο εβδομάδες.
Ωστόσο, σε περίπτωση που ο χρήστης είναι συνδεδεμένος σε ελεύθερο ασύρματο δίκτυο ή η αποστολή των authTokens γίνεται σε μη κωδικοποιημένη διεύθυνση HTTP, τότε οι πληροφορίες αυτές είναι απροστάτευτες!
Οι ερευνητές αναφέρουν ότι το πρόβλημα υφίσταται στις εκδόσεις Android 2.3.3 και παλαιότερες, όπερ σημαίνει ότι δυστυχώς η πλειοψηφία των χρηστών συσκευών Android είναι εκτεθειμένη! Η Google δηλώνει ότι το πρόβλημα θα διορθωθεί στις εκδόσεις Android 2.3.4 και έπειτα, αλλά η καθυστέρηση στη διάθεση των updates από κατασκευαστές και παρόχους, είναι μεγάλο μειονέκτημα.
Προς το παρόν, για να προστατευτείτε καλό θα είναι να αποφεύγετε τα ελεύθερα ασύρματα δίκτυα WiFi, ενώ εάν πρέπει να συνδεθείτε σε κάποιο, απενεργοποιείστε τον αυτόματο συγχρονισμό (σύνδεση) από τις ρυθμίσεις της συσκευής σας, έτσι ώστε να μη το “θυμάται” για την περίπτωση που έχετε ήδη δεχτεί επίθεση από κάποιον hacker.
Τέλος, συνιστάται στους προγραμματιστές να αναβαθμίσουν τις εφαρμογές τους στο πιο ασφαλές πρωτόκολλο HTTPS για την διαδικασία πιστοποίησης μέσω ClientLogin, όπως στην παρόμοια περίπτωση του Facebook, ενώ η Google θα πρέπει να περιορίσει ακόμα περισσότερο τη διάρκεια ζωής των authTokens.
Πηγή:techgear.gr