Hirdetés

Súlyos biztonsági rést találtak az Androidban

Az Ulmi Egyetem szakemberei azt állítják, hogy egy operációs rendszerben lévő hiba miatt a felhasználók autentikációs kódjai illetéktelenek számára is hozzáférhetők, ha a felhasználók egy nem biztonságos WiFi hálózathoz kapcsolódva futtatnak alkalmazásokat. Ennek következtében az adatfolyamot megfigyelő hackerek elérhetik a tulajdonos címjegyzékét, naptárát, emailjeit és egyéb személyes információit. A sebezhetőség a 2.3.3-as vagy korábbi verziójú Androidot érinti, és ma az androidos okostelefonok 99,7 százalékán ilyen rendszerek futnak.

A kutatók szerint a probléma azokat az alkalmazásokat érinti, melyek a Google szolgáltatásaihoz a ClientLogin autentikációs protokollon keresztül kapcsolódnak, itt a biztonsági kódok 14 napos érvényességűek. Ha a tulajdonos egy nem biztonságos kapcsolatot használ (azaz http protokollt https helyett) az illetéktelen "kémkedő" megszerezheti ezt az authToken nevű kódot, és így ideiglenesen hozzáférhet a felhasználó központi szolgáltatásban tárolt adataihoz. Egy nyilvános, nem biztonságos WiFi hálózat (például egy repülőtéri vagy egy kávézóbeli hotspot) így kiváló vadászterület lehet egy adathalász számára, különösen úgy, hogy sok eszköz automatikusan csatlakozik ezekre a hálózatokra, amint észleli őket.

A kutatók tesztjei szerint a 2.3.4-es, illetve a későbbi verziók a legtöbb esetben már biztonságosak (a naptár, illetve a címjegyzék alkalmazások ezekben már https protokolt használnak), de például a galéria itt is sebezhető.

A Google egyelőre nem kommentálta a kutatást, de a szakemberek már előálltak megoldási javaslatokkal: az első természetesen a verziófrissítés, emellett a fejlesztők számára az alkalmazásoknál a https kizárólagos használatát ajánlják. A Google-nak a tokenek érvényességi idejét is csökkentenie kellene, valamint azt is meg kéne oldaniuk, hogy a rendszer a sima http kapcsolatokról érkező kéréseket ne fogadja el.

A frissítés egyelőre még nem elérhető az összes androidos készülékre, ezért a kutatók azt ajánlják, hogy a felhasználók a nyitott wifihálózatok automatikus szinkronizációját kapcsolják ki, de a legjobb megoldás, ha a frissítésig egyáltalán nem kapcsolódnak ilyen hálózatra.

 

Hirdetés

Előzmények

Hirdetés