Súlyos biztonsági rést találtak az Androidban
Az Ulmi Egyetem szakemberei azt állítják, hogy a gyakorlatilag az összes androidos készüléken jelen lévő hiba miatt, ha a felhasználók egy nem biztonságos wifihálózathoz kapcsolódva futtatnak alkalmazásokat, akkor az autentikációs kódjaik illetéktelenek számára is hozzáférhetőek, így az adatfolyamot megfigyelő elérheti a tulajdonos címjegyzékét, naptárát, emailjeit és egyéb személyes információit. A sebezhetőség a 2.3.3-as vagy korábbi verziójú Androidot érinti, és ma az androidos okostelefonok 99,7 százalékán ilyen rendszerek futnak.
A kutatók szerint a probléma azokat az alkalmazásokat érinti, melyek a Google szolgáltatásaihoz a ClientLogin autentikációs protokollon keresztül kapcsolódnak, itt a biztonsági kódok 14 napos érvényességűek. Ha a tulajdonos egy nem biztonságos kapcsolatot használ (azaz http-t https helyett) az illetéktelen kémkedő megszerezheti ezt az authToken nevű kódot, és így ideiglenesen hozzáférhet a felhasználó központi szolgáltatásban tárolt adataihoz. Egy nyilvános, nem biztonságos wifihálózat (például egy repülőtéri vagy egy kávézóbeli hotspot) így kiváló vadászterület lehet egy adathalász számára, különösen úgy, hogy sok eszköz automatikusan csatlakozik ezekre a hálózatokra, amint észleli őket.
A kutatók tesztjei szerint a 2.3.4-es, illetve a későbbi verziók a legtöbb esetben már biztonságosak (a naptár, illetve a címjegyzék alkalmazások ezekben már https-t használnak), de például a galéria itt is sebezhető.
A Google egyelőre nem kommentálta a kutatást, de a szakemberek már előálltak megoldási javaslatokkal: az első természetesen a verziófrissítés, emellett a fejlesztők számára az alkalmazásoknál a https kizárólagos használatát ajánlják. A Google-nak a tokenek érvényességi idejét is csökkentenie kellene, valamint azt is meg kéne oldaniuk, hogy a rendszer a sima http kapcsolatokról érkező kéréseket ne fogadja el.
A frissítés egyelőre még nem elérhető az összes androidos készülékre, ezért a kutatók azt ajánlják, hogy a felhasználók a nyitott wifihálózatok automatikus szinkronizációját kapcsolják ki, de a legjobb megoldás, ha a frissítésig egyáltalán nem kapcsolódnak ilyen hálózatra.