Данные пользователей нетрудно похитить с 99% Android-смартфонов

С подавляющего большинства смартфонов, работающих платформе Google Android, могут быть легко похищены логины и пароли, которые используются для доступа к онлайн-сервисам поискового гиганта. Уязвимость "гуглофонов" для кибератак связана с некорректной работой протокола авторизации ClientLogin.

С подавляющего большинства смартфонов, работающих на мобильной операционной системе Google Android, могут быть легко похищены логины и пароли, которые используются для доступа к онлайн-сервисам поискового гиганта. Высокая уязвимость "гуглофонов" для кибератак связана с некорректной работой протокола авторизации ClientLogin версиях Android 2.3.3 и ниже.

После того как пользователь отправляет свои учетные данные на сервисы Google, ClientLogin получает так называемый жетон авторизации (authToken), который в течение двух недель хранится на устройстве в виде обычного текста. Как удалось выяснить исследователям из немецкого Университета Ульма, этот незашифрованный файл могут прочитать злоумышленники для несанкционированного доступа к аккаунту пользователя.

В феврале были найдены аналогичные "дыры" в системе безопасности Android, через которые хакеры могли получить данные для доступа в Facebook (запрещена в РФ), Twitter и Google Календарь. Такие атаки могут быть проведены, если устройство используется в незащищенных сетях (к примеру, если оно подключено через публичный хот-спот Wi-Fi).

Ранее в мае Google устранила эту уязвимость, выпустив "заплатку" вместе с Android 2.3.4, однако эта версия, а также 3.0 (Honeycomb), вероятно, по-прежнему передает конфиденциальные данные через незашифрованные каналы, полагают исследователи. Учитывая собственную статистику Google, это значит, что для атак уязвимы более 99% Android-смартфонов, пишет в The Register.

Исследователи полагают, что те приложения, которые используют ClientLogin, должны немедленно перейти на зашифрованный протокол https (либо сделать выбор в пользу более надежного протокола oAuth). Специалисты также советуют уменьшить срок хранения жетонов авторизации и отклонять запросы ClientLogin на небезопасные соединения по http-каналу.

Также по теме:
Анонсирована новая версия Android
Смартфоны на платформе Android следят за пользователями
Google удаляет приложения со смартфонов пользователей
Эксперты: Google должна сканировать Android Market на вирусы
Вредоносные программы атаковали соцсети и мобильники