В 99% Android-устройств обнаружена серьезная программная уязвимость
В системе безопасности мобильной ОС Гугл Android была найдена еще одна уязвимость, из-за которой злоумышленники могут просто получить доступ к неким личным данным юзера и учетным записям в онлайновых сервисах, где он зарегистрирован. К счастью, эту уязвимость отыскали не злоумышленники, а ученые из Ульмского института, докладывает The Register. Они заинтересовались исследовательскими работами системы безопасности Android, проведенными доктором из Института Райса (Rice University) Дэном Уоллахом (Dan Wallach), и, взяв их за базу, смогли без особенных сложностей получить несанкционированный доступ к принципиальным данным юзера.
Неувязка оказалась в используемых Гугл способах использования протокола авторизации ClientLogin. После того, как юзер вводит данные для входа в защищенный паролем сервис, будь то «Календарь» либо «Контакты» Гугл, Facebook, Twitter и т. д., создается цифровой ключ (authToken), который может употребляться в течение 2-ух недель и в сервис он передается в виде обычного текстового файла. Судя по исследованиям служащих Ульмского института, этот ключ просто перехватывается в незащищенных сетях, к примеру, в публичных точках доступа Wi-Fi. Используя его, злодей получит доступ к учетной записи юзера и его личным данным. Для сбора authToken могут употребляться «липовые» точки доступа Wi-Fi с пользующимися популярностью обозначениями SSID («Укртелеком», «Макдональдс» и т. д.), к которым Android-устройства будут подключаться автоматом. Как устанавливается соединение, начинают рассылаться authToken для автоматического подключения к применяемым человеком сервисам, будь то Gmail, Facebook и т. д., и они перехватываются злодеями.
Решение трудности есть и оно не особо сложное в теории, но на практике все намного ужаснее. Гугл закрыла найденную уязвимость в Android 2.3.4, но эта версия ОС сейчас доступна только для Nexus S и Nexus One, а другие 99,9% девайсов под управлением Android 2.3.3 и поболее ранешних версий остались беззащитны. Очередной вариант — переход Гугл на внедрение защищенных каналов https заместо http либо же отказ от протокола ClientLogin в пользу oAuth.
Этот случай в очередной раз показывает на две актуальные задачи Гугл: не самую надежную систему безопасности Android и слабо налаженные контакты с производителями конечных устройств. В первом случае компанию трудно упрекнуть, потому что неважно какая сделанная человеком система безопасности им может быть и взломана. В конечном итоге приходится просто закрывать отысканные уязвимости, но в случае с Android не все так просто. Гугл стремительно выпускает обновления ОС для собственных телефонов, но это ПО очень медлительно приспосабливается для устройств от других производителей, включая больших игроков рынка вроде HTC, Самсунг либо Motorola. Уже несколько месяцев понятно о различного рода уязвимостях в Android 2.2, но сильно много устройств до сего времени употребляют эту ОС и поболее ранешние сборки тоже.
Общество XDA Developers взламывает практически хоть какое устройство на базе ОС Android, хотя в этом случае идет речь об обеспечении полного доступа ...
Согласно сообщения исследователей из Колумбийского Института (Columbia University) Енг Куи (Ang Cui) и Сальваторе Столфо (Salvatore Stolfo), принтеры ...
Чуть раньше сообщалось, что в операционной системе Гугл Android найдена уязвимость в системе безопасности. Неувязка заключается в используемых Гугл ...
Команда US-CERT (Computer Emergency Response Team - команда скорой компьютерной помощи Института программной инженерии Института Карнеги-Меллона), ...
На конференции DefCon в Лас-Вегасе, США, разработчик Шон Шульте (Sean Schulte) из Trustwave и старший вице-президент и глава подразделения SpiderLabs ...