Большинство устройств на базе операционной системы Google Android уязвимы для
атак, которые позволяют злоумышленникам красть цифровые удостоверения,
используемые для доступа к календарям, контактам и другой секретной информации,
хранимой на серверах поискового гиганта, предупредили исследователи
университета.

Уязвимость связана с ненадлежащим применением аутентификационного протокола,
известного как ClientLogin в версии Android 2.3.3, а также в более ранних
версиях, сообщили исследователи из Ульмского университета (Германия). После того
как пользователь предоставляет достоверные учетные данные для Google Calendar,
Twitter, Facebook или некоторых других аккаунтов, программный интерфейс
извлекает аутентификационный токен, который отправляется в незашифрованном виде.
Поскольку authToken может быть использован до 14 дней в любых последующих
запросах о предоставлении услуг, злоумышленники могут эксплуатировать его для
получения несанкционированного доступа к аккаунтам.

"Мы хотели узнать, действительно ли возможно запустить атаку имперсонализации
против сервисов Google, и начали наше исследование", - написали в пятницу
исследователи из Institute of Media Informatics на базе университета. "Короткий
ответ таков: да, это возможно, и это достаточно легко сделать".

Полученные результаты подтвердили ранее совершенные профессором из
Университета Райса Дэном Уоллахом открытия. В феврале
он обнаружил недостатки в
приватности Android
во время простых занятий по безопасности со студентами.
Атаки могут быть осуществлены лишь в том случае, когда используются небезопасные
сети, такие как, например, открытые Wi-Fi точки доступа.

Компания Google закрыла некоторые пробелы в безопасности ранее в этом месяце
при выпуске Android 2.3.4, хотя и эта версия, и возможно Android 3, по-прежнему
осуществляют синхронизацию устройств с веб-альбомами Picasa, что делает
возможной передачу секретных данных через незашифрованные каналы, сообщили
исследователи. С учетом собственной статистики Google можно сказать, что более
99% телефонов на базе Android уязвимы для атак, которые по сложности и
воздействию напоминают так называемые sidejacking-вторжения, приводящие к краже
аутентификационных куки.

Представитель Google сообщил, что команда Android знает о недостатках Picasa
и работает над их устранением.

Исследователи Бастиан Кёнингс, Дженс Никельс и Флориан Шауб предупредили, что
уязвимости могут быть применены против людей, которые используют свои устройства
Android в сетях, находящихся под контролем злоумышленника.

"Для сбора таких authTokens в больших масштабах злоумышленник может
разместить свою открытую точку доступа с обычно используемым SSID (evil
twin
), например, T-Mobile, attwifi, starbucks", - написали они. "С
настройками по умолчанию телефоны Android автоматически устанавливают соединение
с ранее известной сетью, и многие приложения немедленно начинают совершать
попытку синхронизации. Несмотря на то, что синхронизация не удастся (кроме тех
случаев, когда преступник перенаправит запросы), злоумышленник может захватить
authTokens для каждого сервиса, который осуществлял попытку синхронизации".

Приложения, которые используют ClientLogin, должны немедленно перейти на
зашифрованные https каналы, отметили исследователи. Более надежный
аутентификационный протокол, известный как oAuth, также закроет уязвимость
authToken, хотя https по-прежнему должен быть использован для предотвращения
перехвата данных.

Исследователи также предложили Google улучшить безопасность путем сокращения
времени действия authTokens и отклонения ClientLogin запросов от небезопасных
http соединений.

Отмечая, что более 99% операторов предлагают своим пользователям версии
Android с известными недостатками в безопасности, отчет демонстрирует, насколько
низких результатов Google добилось в установлении партнерства для апгрейда до
последних версий. Многие клиенты Verizon Wireless, например, по-прежнему
продолжают использовать Android 2.2.2, несмотря на наличие уязвимостей о которых
известно на протяжении нескольких месяцев .

На прошлой неделе компания Google сообщила, что она планирует более плотно
поработать с операторами беспроводной связи чтобы помочь им быстрее совершать
обновления Android. Компания еще не уточнила подробности, как это будет
происходить.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии