Szinte az összes androidos telefont érinti a most felfedezett biztonsági hiba

Az Ulmi Egyetem kutatói már május 13-án közzétették az Android operációs rendszer sebezhetőségéről szóló cikküket, ám a szaksajtó csak most figyelt fel rá. A német szakemberek, Bastian Könings, Jens Nickels és Florian Schaub azt állítják, hogy a gyakorlatilag az összes androidos készüléken jelen lévő hiba miatt, ha a felhasználók egy nem biztonságos wifihálózathoz kapcsolódva futtatnak alkalmazásokat, akkor autentikációs tokenjeik (kódjaik) illetéktelenek számára is hozzáférhetőek, és így az adatfolyamot megfigyelő elérheti a tulajdonos címjegyzékét, naptárát, e-mailjeit és egyéb személyes információit. A „gyakorlatilag az összes” minősítést azért lehet használni, mivel a sebezhetőség a 2.3.3-as vagy korábbi verziójú Androidot érinti, márpedig ma az androidos okostelefonok 99,7 százalékán ilyen rendszerek futnak.

Hirdetés

A kutatók szerint a probléma azokat az alkalmazásokat érinti, melyek a Google szolgáltatásaihoz az úgynevezett ClientLogin autentikációs protokollon keresztül kapcsolódnak, itt a tokenek 14 napos érvényességűek. Ám ha a tulajdonos egy nem biztonságos kapcsolatot használ (http-t https helyett) az illetéktelen „kémkedő” megszerezheti ezt az authTokent, és így időkorlátosan hozzáférhet a felhasználó említett, a központi szolgáltatásban tárolt adataihoz. Egy nyilvános, nem biztonságos wifihálózat (egy repülőtéri vagy egy netkávézóbeli) így paradicsom lehet egy adathalász számára, különösen úgy, hogy igen sok eszköz automatikusan átáll ezekre a hálózatokra, amint észleli őket.

A kutatók tesztjei szerint a 2.3.4-es, illetve a későbbi verziók a legtöbb esetben már biztonságosak (a naptár, illetve a címjegyzék alkalmazások már https-t használnak), de például a galéria itt is sebezhető.

A Google egyelőre még nem kommentálta a kutatást, de a szakemberek már előálltak megoldási javaslatokkal: az első természetesen a verziófrissítés, emellett a fejlesztők számára az alkalmazásoknál a https kizárólagos használatát ajánlják. A Google-nak szerintük a tokenek érvényességi idejét is csökkentenie kellene, valamint azt is meg kéne oldaniuk, hogy a rendszer a http-s kapcsolatokról érkező kéréseket ne fogadja el.

Ám a frissítés sajnos egyelőre még nem elérhető az összes androidos készülékre, ezért a kutatók azt ajánlják, hogy a felhasználók a nyitott wifihálózatokkal történő automatikus szinkronizációt kapcsolják ki, de a legjobb megoldás szerintük, hogy ha a frissítésig egyáltalán nem kapcsolódnak ilyen hálózatra.

Hirdetés

Azóta történt

Előzmények