Главная Новости Клиенты Заявка Вакансии Сертификаты Статьи Контакты
Ремонт ноутбуков
В последнее время большое распространение среди компаний и частных лиц получили ноутбуки.
Абонентское обслуживание
Как часто происходят моменты, когда из-за сбоев в...
Удаленный ремонт
Порой возникают проблемы с компьютерной или организационной техникой...

В 99% Android-устройств обнаружена серьезная программная уязвимость

14.04.2014

В 99% Android устройств обнаружена серьезная программная уязвимостьВ системе безопасности мобильной ОС Гугл Android была найдена еще одна уязвимость, из-за которой злоумышленники могут просто получить доступ к неким личным данным юзера и учетным записям в онлайновых сервисах, где он зарегистрирован. К счастью, эту уязвимость отыскали не злоумышленники, а ученые из Ульмского института, докладывает The Register. Они заинтересовались исследовательскими работами системы безопасности Android, проведенными доктором из Института Райса (Rice University) Дэном Уоллахом (Dan Wallach), и, взяв их за базу, смогли без особенных сложностей получить несанкционированный доступ к принципиальным данным юзера.

Неувязка оказалась в используемых Гугл способах использования протокола авторизации ClientLogin. После того, как юзер вводит данные для входа в защищенный паролем сервис, будь то «Календарь» либо «Контакты» Гугл, Facebook, Twitter и т. д., создается цифровой ключ (authToken), который может употребляться в течение 2-ух недель и в сервис он передается в виде обычного текстового файла. Судя по исследованиям служащих Ульмского института, этот ключ просто перехватывается в незащищенных сетях, к примеру, в публичных точках доступа Wi-Fi. Используя его, злодей получит доступ к учетной записи юзера и его личным данным. Для сбора authToken могут употребляться «липовые» точки доступа Wi-Fi с пользующимися популярностью обозначениями SSID («Укртелеком», «Макдональдс» и т. д.), к которым Android-устройства будут подключаться автоматом. Как устанавливается соединение, начинают рассылаться authToken для автоматического подключения к применяемым человеком сервисам, будь то Gmail, Facebook и т. д., и они перехватываются злодеями.

Решение трудности есть и оно не особо сложное в теории, но на практике все намного ужаснее. Гугл закрыла найденную уязвимость в Android 2.3.4, но эта версия ОС сейчас доступна только для Nexus S и Nexus One, а другие 99,9% девайсов под управлением Android 2.3.3 и поболее ранешних версий остались беззащитны. Очередной вариант — переход Гугл на внедрение защищенных каналов https заместо http либо же отказ от протокола ClientLogin в пользу oAuth.

Этот случай в очередной раз показывает на две актуальные задачи Гугл: не самую надежную систему безопасности Android и слабо налаженные контакты с производителями конечных устройств. В первом случае компанию трудно упрекнуть, потому что неважно какая сделанная человеком система безопасности им может быть и взломана. В конечном итоге приходится просто закрывать отысканные уязвимости, но в случае с Android не все так просто. Гугл стремительно выпускает обновления ОС для собственных телефонов, но это ПО очень медлительно приспосабливается для устройств от других производителей, включая больших игроков рынка вроде HTC, Самсунг либо Motorola. Уже несколько месяцев понятно о различного рода уязвимостях в Android 2.2, но сильно много устройств до сего времени употребляют эту ОС и поболее ранешние сборки тоже.

Яндекс.Метрика