Пост на тему
Всего по теме:
Новое по теме:
- Платформа Jelly Bean — самая безопасная из семейства Android пост от black7
- Android Market отныне Google Play пост от black7
- В YouTube для Android появилась поддержка HD-видео пост от errenter
4 читателя
Почти все Android-устройства имеют серьезную брешь в безопасности
Мобильные устройства хранят массу персональной информации своих владельцев, которая представляет интерес для злоумышленников. Как оказалось, практически все Android-устройства имеют серьезную уязвимость.
![[http://photo.torba.com/images/mehlis/f500/FsgWQgxUUHA2NoQvn4kU.jpg]](http://photo.torba.com/images/mehlis/f500/FsgWQgxUUHA2NoQvn4kU.jpg "http://photo.torba.com/images/mehlis/f500/FsgWQgxUUHA2NoQvn4kU.jpg")
Немецкие исследователи в области безопасности Бастиан Конингс (Bastian Könings), Дженс Никелс (Jens Nickels) и Флориан Шауб (Florian Schaub) из университета Ульма обнаружили «дыру» в операционной системе Android, которая позволяет злоумышленникам похитить пользовательские контакты, записи в органайзере и другие данные, хранящиеся на серверах Google.
Проблема заключается в несовершенном механизме аутентификации, реализованного с помощью протокола ClientLogin в ОС Android 2.3.3 и всех ранних версиях. Когда пользователь Android-устройства заходит на сайты типа Twitter, Facebook и другие, с его устройства отправляются логин и пароль в зашифрованном виде, а в ответ получает authTokens — цифровой «ключ пользователя», который отправляется в незашифрованном виде. Этот ключ действителен 14 дней и, укравшие его хакеры, на протяжении этого периода смогут маскироваться под вас, получая несанкционированный доступ к вашим аккаунтам. Исследователи подчеркивают, что злоумышленникам особенно легко украсть ваш цифровой ключ, когда вы пользуетесь незащищенными публичными Wi-Fi сетями.
Описанной выше уязвимости подвержены более 99% устройств, работающих под управлением Android. Исследователи по безопасности уже предложили компании Google ряд способов, позволяющих повысить безопасность Android, но когда они будут реализованы неизвестно.
Немецкие исследователи в области безопасности Бастиан Конингс (Bastian Könings), Дженс Никелс (Jens Nickels) и Флориан Шауб (Florian Schaub) из университета Ульма обнаружили «дыру» в операционной системе Android, которая позволяет злоумышленникам похитить пользовательские контакты, записи в органайзере и другие данные, хранящиеся на серверах Google.
Проблема заключается в несовершенном механизме аутентификации, реализованного с помощью протокола ClientLogin в ОС Android 2.3.3 и всех ранних версиях. Когда пользователь Android-устройства заходит на сайты типа Twitter, Facebook и другие, с его устройства отправляются логин и пароль в зашифрованном виде, а в ответ получает authTokens — цифровой «ключ пользователя», который отправляется в незашифрованном виде. Этот ключ действителен 14 дней и, укравшие его хакеры, на протяжении этого периода смогут маскироваться под вас, получая несанкционированный доступ к вашим аккаунтам. Исследователи подчеркивают, что злоумышленникам особенно легко украсть ваш цифровой ключ, когда вы пользуетесь незащищенными публичными Wi-Fi сетями.
Описанной выше уязвимости подвержены более 99% устройств, работающих под управлением Android. Исследователи по безопасности уже предложили компании Google ряд способов, позволяющих повысить безопасность Android, но когда они будут реализованы неизвестно.
18.05.2011 14:03
Для того, что бы комментировать или отвечать на вопросы, необходимо авторизоваться. Если у вас нет логина и пароля, зарегистрируйтесь прямо сейчас.