Google Android: Patch για το κενό ασφαλείας
Η Google ανακοίνωσε ότι ξεκινάει την διάθεση ενός server-side patch για το κενό ασφαλείας που παρουσιάστηκε πρόσφατα στο 99% των Android τηλεφώνων που επέτρεπε σε κακόβουλους μέσω μη-ασφαλών WiFi δικτύων να αποκτήσουν πρόσβαση στα προσωπικά στοιχεία των επαφών και του calendar του χρήστη.
Το fix αυτό δεν απαιτεί κάποια ενέργεια από τους χρήστες και θα διανεμηθεί παγκοσμίως τις επόμενες ημέρες.
Η ύπαρξη της αδυναμίας πρωτο-αναφέρθηκε το Φεβρουάριο σε δημοσίευμα ενός blog από τον καθηγητή του Rice University, Dan Wallach, ο οποίος τόνισε πως πολλά apps του Android δεν χρησιμοποιούν κρυπτογράφηση SSL για να προστατέψουν την διαδικτυακή τους κίνηση.
Όμως μόλις την περασμένη εβδομάδα Γερμανοί ερευνητές επινόησαν έναν τρόπο, για λόγους επίδειξης, που εκμεταλλεύεται αυτό το κενό ασφαλείας.
Σύμφωνα με το Techspot το κενό προέρχεται από μία αδυναμία στο ClientLogin πρωτόκολλο πιστοποίησης της Google, το οποίο έχει σχεδιαστεί για να επιτρέπει στα apps να ανταλλάσουν τους κωδικούς του χρήστη για ένα "token" πιστοποίησης το οποίο ταυτοποιεί τον χρήστη στην εκάστοτε υπηρεσία. Αν το token αυτό περάσει μέσα από ένα μη-κρυπτογραφημένο request, τότε μπορεί να το διαβάσει ένας κακόβουλος hacker και να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στα στοιχεία του calendar, στα στοιχεία των επαφών αλλά και στις αποθηκευμένες φωτογραφίες του Picasa.
Οι τελευταίες εκδόσεις του Android για smartphones (2.3.4) και για tablets (3.0) δεν επηρεάζονται από αυτό το πρόβλημα, αλλά όμως επειδή πάνω από 99% των Android συσκευών χρησιμοποιούν ακόμα τις παλιότερες εκδόσεις η Google φρόντισε να βγάλει fix.
Βασικά, αυτό που κάνει το fix είναι να εξαναγκάζει τις συσκευές να συνδέονται με τις υπηρεσίες του Google μέσω HTTPS, έτσι ώστε τα token πιστοποίησης να μην είναι ευάλωτα σε επιθέσεις όταν μεταφέρονται μέσω μη-κρυπτογραφημένων ασύρματων WiFi δικτύων. Η Google, σύμφωνα με πληροφορίες, ακόμη ερευνά εάν το Picasa είναι και αυτό ευάλωτο ή όχι.
[via]