Android zdradza twoje prywatne dane

Według doniesień redakcji The Register, w systemie operacyjnym Android znajduje się luka w zabezpieczeniach, dzięki której włamywacz może uzyskać dostęp do konta Google.

Unikaj nieszyfrowanych sieci WiFi

Unikaj nieszyfrowanych sieci WiFi

Usterka polega ponoć na niepoprawnej implementacji protokołu ClientLogin w systemach Android 2.3.3 Gingerbread i wszystkich starszych. Usterka powoduje, że przez 14 dni nasze konto jest dostępne dla każdego, kto przechwyci token logowania.

Po tym, jak podamy w telefonie swój login do konta Google, Twittera, Facebooka czy innego obsługiwanego, telefon otrzymuje token o ważności 14 dni, który jest przesyłany w sposób nieszyfrowany, za pomocą czystego tekstu („plain text”). Token wystarczy, by móc przez 14 dni mieć nielimitowany dostęp do naszego konta (lub zmianę hasła i posiadanie dostępu na dużo dłużej…). Ów token podsłuchać można dość łatwo, jeżeli posługujemy się publiczną siecią WiFi.

Jedyną radą jest korzystanie tylko i wyłącznie z szyfrowanych sieci bezprzewodowych i czekać na aktualizację systemu. Biorąc pod uwagę jednak ociężałość producentów telefonów i operatorów komórkowych, może upłynąć nieco czasu zanim (jak zakładamy) błyskawicznie opracowana przez Google’a łatka trafi do użytkowników końcowych…

Aktualizacja: Jak słusznie zauważył jeden z naszych Czytelników, sam token nie zdradza w sposób bezpośredni naszego loginu i hasła, a stanowi ich zamiennik. Czyli umożliwia zalogowanie się na konto Google i na powiązane z nim usługi bez potrzebny znajomości tych poświadczeń (login i hasło). Na jedno wychodzi, tym niemniej za korektę serdecznie dziękujemy.

2
Źródło: The Register
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.