android

Luka w zabezpieczeniach systemu Android

Okazuje się, że system Android ma sporą dziurę w zabezpieczeniach, która pozwala potencjalnemu cyber-przestępcy na poznanie naszych loginów i haseł.

Android

Problem dotyczy wszystkich urządzeń z systemem Android w wersji 2.3.3 Gingerbread i niżej. Luka pozwala na przejęcie tokenów, jakie system przechowuje po logowaniu do takich miejsc, jak np. Facebook, Twitter, GMail itp.

Jak to działa? Kiedy gdzieś się logujesz, Twój authToken jest przechowywany w pamięci urządzenia przez 14 dni. Owy token pozwala na ponowne zalogowanie się do danego serwisu – bez potrzeby ponownego wpisywania loginu i hasła. Niestety, tokeny są przesyłane przez niezaszyfrowany kanał, co pozwala na ich przechwycenie i tym samym – zalogowanie do miejsc, gdzie byliśmy zalogowani w ciągu ostatnich 14 dni.

Jak można paść ofiarą takiego ataku? Problem dotyczy jedynie niezaszyfrowanych sieci, czyli np. bezpłatnych i ogólnodostępnych hotspotów WiFi. Google już podjęło kroki w załataniu dziury, jednak do tej pory łatkę otrzymał jedynie Android 2.3.4, oraz 3.0 Honeycomb – tak więc 99% urządzeń jest nadal podatnych na atak.

Jak uniknąć kradzieży danych? Wystarczy, że nie będziemy korzystać z publicznych i niezaszyfrowanych połączeń WiFi i mieć nadzieję, że Google wypuści poprawkę zabezpieczeń dla wszystkich urządzeń z OS Android, a nie tylko tych najnowszych.

Źródło: AndroidPolice