Мобильным телефонам на базе операционной системы Android не удается шифровать
информацию, оправляемую на Facebook и Google Calendar, а также информацию,
присылаемую данными сайтами. Данный недостаток может подвергнуть опасности
личные данные сотен миллионов пользователей, говорят компьютерные исследователи.
На простом занятии со студентами профессор из Университета Райса Дэн Уоллах
использовал сниффер для проверки текущего трафика. Он осуществил наблюдение за
трафиком, отправляемым на его телефон на базе Android, при посещении различных
приложений, доступных для мобильной платформы Google. То, что профессор увидел,
удивило его.
Официальное приложение Facebook, например, отправляло все в незашифрованном
виде, за исключением пароля, написал Уоллах во вторник в блоге. Это значит, что
все личные сообщения, загрузки фото и другие операции были видимы для
соглядатаев, даже несмотря на то, что аккаунт был сконфигурирован для
использования SSL.
"Люди, заслуженно или нет, считают Facebook чем-то более личным и приватным",
- сообщил Уоллах. "С Facebook мы никогда не видели, чтобы пароль путешествовал
"в чистом виде", но существует незашифрованный трафик, что вызывает интерес,
поскольку я установил в веб-клиенте Facebook использование новой опции
SSL-all-the-time. Но это не отразилось на приложении Facebook в Android".
Представитель Facebook сообщил: "После начала использования SSL на сайте мы
по-прежнему тестируем его внедрение на всех платформах и надеемся обеспечить SSL
как опцию для наших мобильных пользователей в ближайшие месяцы". Компания
предупреждает пользователей о необходимости проявлять осторожность при
использовании небезопасных Wi-Fi сетей, но насколько можно сказать, Facebook
никогда однозначно не сообщал, что его приложения для смартфонов не шифруют
трафик.
Google Calendar показал аналогичную халатность в проведенном Уоллахом
эксперименте, также отправляя и получая информацию в незашифрованном виде. Это
дает возможность шпионам увидеть твое расписание при получении доступа к серверу
через небезопасные сети.
Представитель Google поведал в email: "Мы планируем начать шифровать трафик
для Google Calendar в Android в будущем. Если это возможно, мы рекомендуем
использовать зашифрованные Wi-Fi сети". Он не сказал, сколько придется ждать
пользователям.
Уоллах обнаружил несколько других приложений, которые используют опрометчивый
подход к пользовательской приватности. Приложение SoundHound для распознавания
песен, например, отправляет пользовательские GPS координаты с точностью до
квартала на сервис каждый раз, когда делается запрос, даже несмотря на то, что
приложение работает также хорошо без этой информации. Сервис под названием
ShopSaavy отслеживает те же данные, но, по крайней мере, здесь можно поспорить,
насколько релевантно физическое расположение пользователя для сервиса.
Ни одно из приложений, протестированных Уоллахом, не передавало пароль в
незашифрованном виде.
Немного спустя после того, как Уоллах опубликовал свое открытие,
исследователь из F-Secure Син Салливан
написал в блоге о еще одном недостатке SSL в Facebook. Основываясь на этих
данных, можно предположить, что мошеннические приложения на Facebook могут
отключить эту опцию.
