Исследователи из Ульмского университета (Германия) Бастиан Кёнингс, Йенс Никельс и Флориан Шауб обнаружили уязвимость, связанную с ненадлежащим применением аутентификационного протокола ClientLogin в версии Android 2.3.3, а также в более ранних версиях этой мобильной операционной системы от Google, сообщает ХАКЕР.ру.
После того как пользователь предоставляет достоверные учетные данные для Google Calendar, Twitter, Facebook или некоторых других аккаунтов, программный интерфейс извлекает authTokens - цифровой "ключ пользователя", который отправляется в незашифрованном виде.
Поскольку этот идентификатор может использоваться до 14 дней в любых последующих запросах о предоставлении услуг, злоумышленники могут эксплуатировать его для получения несанкционированного доступа к аккаунтам.
Злоумышленники вполне способны разместить свою открытую точку доступа, "замаскировав" ее под другую беспроводную сеть, отмечают эксперты. С настройками по умолчанию телефоны с Android автоматически устанавливают соединение с ранее известной сетью, и многие приложения немедленно начинают совершать попытку синхронизации.
Несмотря на то, что синхронизация не удастся (кроме тех случаев, когда преступник перенаправит запросы), злоумышленник может перехватить authToken для каждого сервиса, который осуществлял попытку синхронизации.
Таким образом, говорится в отчете немецких ученых, более 99% мобильных устройств с Android используют версии с известными недостатками безопасности. Многие клиенты крупнейшего американского оператора связи Verizon Wireless, например, по-прежнему продолжают использовать Android 2.2.2, несмотря на наличие уязвимостей о которых известно на протяжении нескольких месяцев
Полученные результаты подтвердили выводы профессора из Университета Райса (США) Дэна Уоллаха. В феврале он обнаружил недостатки в приватности Android во время простых занятий по безопасности со студентами. Атаки могут быть осуществлены лишь в том случае, когда используются небезопасные сети, такие как, например, открытые Wi-Fi точки доступа.
Компания Google закрыла некоторые пробелы в безопасности ранее в этом месяце при выпуске Android 2.3.4, хотя и эта версия, и возможно Android 3, по-прежнему осуществляют синхронизацию устройств с веб-альбомами Picasa, что делает возможной передачу секретных данных через незашифрованные каналы, сообщили исследователи.
С учетом собственной статистики Google можно сказать, что более 99% телефонов на базе Android уязвимы для атак, приводящих к краже аутентификационных данных.
Представитель Google сообщил, что команда Android знает о недостатках Picasa и работает над их устранением.
Исследователи также предложили Google улучшить безопасность путем сокращения времени действия authTokens и отклонения запросов от небезопасных интернет-соединений.
На прошлой неделе компания Google сообщила, что она планирует более плотно поработать с операторами беспроводной связи чтобы помочь им быстрее совершать обновления Android. Компания еще не уточнила подробности, как это будет происходить.