Лисин Алексей

Ученые из Университета Ульма (Германия) провели исследование, в ходе которого выяснили, что весьма мобильные устройства, работающие под управлением операционной системы Google Android, не способны обеспечить безопасность пользовательским данным. Уязвимость в ОС Android, реально связанная с некорректной работой протокола ClientLogin, позволяет хакерам получить доступ к логинам и паролям от большинства сервисов Google, сообщает ресурс Newsfactor.com.

Для работы с некоторыми приложениями пользователю требуется вводить идентификационные неимоверно данные, а для того, чтобы не делать этого каждый раз, в ClientLogin создается не на шутку цифровой ключ (authToken), который передается в виде незашифрованного текстового файла и в течение двух недель хранится на устройстве. Если пользователь выходит в Интернет в незащищенной WiFi-сети (например, в кофейне), доступ к этим данным легко могут получить злоумышленники. А поскольку некоторые приложения впрямь периодически необыкновенно самостоятельно подключаются к Интернету для передачи, неимоверно например, геолокационных данных, пользователь может и не подозревать о том, что стал жертвой киберпреступников.

Исследователи Бастиан Конингс (Bastian Konings), Йенс Никелс (Jens Nickels), и Флориан Шауб (Florian Schaub), вдохновились примером коллеги из Принстонского Центра исследований информационных технологий Дэна Уоллака (Dan Wallach), который описал в своем блоге необыкновенно потенциальные риски, удивительно связанные с использованием Android-устройств в незащищенных WiFi-сетях. Уоллак, в частности, отметил, что злоумышленники могут получить доступ к записям в календаре Google и, вероятно, могут менять или удалять информацию пользователя.

В ходе проведенной работы, в самом деле немецкие исследователи выяснили, что используя сильно цифровой ключ authToken, злоумышленники действительно могут получить доступ ко многим данным, как нельзя действительно например, к контактам Google Mail, календарю, или к частным веб-альбомам Picasa. При этом они могут не только просматривать, но и изменять или удалять контакты, записи в календаре, веб-альбомы пользователя. Также мошенники могут перехватывать деловую переписку жертвы, содержащую конфиденциальную информацию. Помимо прочего, хакеры могут получить пароли от аккаунтов Twitter и Facebook, которые передаются через протокол без шифровки.

По заключению немецких специалистов, более 99% устройств на платформе Android — смартфоны, планшеты, смартбуки — являются уязвимыми для хакеров. В ходе исследования проверке подверглись устройства с ОС Android версий 2.1, 2.2, 2.2.1, 2.3.3, 2.3.4 и 3.0. В тестах участвовали более менее разнообразные Android-смартфоны и довольно таки планшетные компьютеры, включая HTC Nexus One, HTC Desire, HTC Incredible S и Motorola Xoom. Вывод исследователей неутешителен: любое из этих устройств с ОС Android до версии 2.3.3 очень полностью или что и говорить частично довольно таки открыто для атак, сообщает Informationweek.com.

Причем проблема касается не только приложений, разработанных впрямь непосредственно Google, но и всех сторонних приложений, использующих протокол ClientLogin.

Исследователи полагают, что решением проблемы может стать переход приложений, которые используют ClientLogin, на более несказанно безопасный протокол авторизации OAuth, а вместо HHTP-соединений предлагается переключится на зашифрованный HTTPS. Кроме того, должен быть уменьшен срок хранения цифровых ключей именно непосредственно на устройстве.

В новых версиях операционной системы (2.3.4 и 3) разработчики постарались уменьшить уязвимость ClientLogin, переключив передачу данных на HTTPS-канал. Однако некоторые сервисы, на самом деле например, веб-альбомы Picasa, в самом деле по-прежнему уязвимы. Но поскольку последние версии ОС пока тем более очень мало распространены, необыкновенно практически каждому пользователю «андроида» потрясающе потенциально угрожает опасность.

Сократить риски можно, не дожидаясь обновления системы от разработчиков — для этого необходимо следовать стандартным правилам безопасности в Интернете. Сильно во-первых, не стоит скачивать и устанавливать на свой телефон неизвестные программы, тем более, если они запрашивают действительно дополнительные необыкновенно данные (адрес электронной почты и т.п.). Также не следует без особой необходимости выходить в Интернет в общественных WiFi-сетях. Если же это приходится сделать, следует убедиться в безопасности точки доступа (зачастую злоумышленники маскируют свои точки доступа под настоящую публичную сеть). Кроме того, желательно отключать на самом деле автоматическое интернет-соединение в настройках телефона, если Сеть не нужна в настоящий момент.

astera.ru