В 99% android-устройств обнаружена серьезная программная уязвимость

В 99% android-устройств обнаружена серьезная программная уязвимость

В совокупности безопасности мобильной ОС Гугл Android нашлась очередная уязвимость, в результате которой преступники смогут легко получить доступ к некоторым личным данным пользователя и учетным записям в сетевых сервисах, где он зарегистрирован. К счастью, эту уязвимость нашли не преступники, а ученые из Ульмского университета, информирует The Register. Они заинтересовались изучениями совокупности безопасности Android, совершёнными доктором наук из Университета Райса (Rice University) Дэном Уоллахом (Dan Wallach), и, забрав их за базу, смогли без особенных сложностей взять несанкционированный доступ к серьёзным данным пользователя.
Смотрите кроме этого: Android 2.2 стала главной среди всех предположений мобильной ОС Гугл

В июне прошлого года Android 2.1 была установлена на 50% других устройств и смартфонов под управлением мобильной ОС Гугл, сейчас же еще более впечатляющего результата добилась Android 2.2. В частности, упомянутая версия ОС найдена на 61,3% Android-устройств, вторая по распространенности — Android 2.1 с 29%, информирует Android Developers.Под управлением Android 2.3 трудится 0,7% устройств, а ее вариант со всеми обновлениями, Android 2.3.3, установлен на 1% гаджетов. Самый мелкий итог у планшетной версии платформы — Android 3.0.

Неприятность появилась в используемых Гугл способах применения протокола авторизации ClientLogin. По окончании того, как пользователь вводит эти для входа в защищенный паролем сервис, будь то «Календарь» либо «Контакты» Гугл, , и т. д., создается цифровой ключ (authToken), что может употребляться в течение 14 дней и в сервис он передается в виде несложного текстового файла. Если судить по изучениям сотрудников Ульмского университета, данный ключ легко перехватывается в незащищенных сетях, к примеру, в публичных точках доступа Wi-Fi. Применяя его, преступник возьмёт доступ к учетной записи пользователя и его личным данным. Для сбора authToken смогут употребляться «липовые» точки доступа Wi-Fi с популярными обозначениями SSID («Укртелеком», «Макдональдс» и т. д.), к каким Android-устройства будут подключаться машинально. Когда устанавливается соединение, начинают рассылаться authToken для автоматического подключения к применяемым человеком сервисам, будь то Gmail, и т. д., и они перехватываются преступниками.

Решение проблемы имеется и оно не очень сложное в теории, но на практике все намного хуже. Google закрыла отысканную уязвимость в светло синий 2.3.4, но эта версия ОС сейчас доступна лишь для Nexus S и Nexus One, а остальные 99,9% гаджетов под управлением Android 2.3.3 и более ранних предположений остались беспомощны. Еще один вариант — переход Гугл на применение защищенных каналов https вместо кожный покров либо же отказ от протокола ClientLogin в пользу oAuth.

Данный случай в очередной раз показывает на две злободневные неприятности Гугл: не самую систему безопасности Android и слабо налаженные контакты с производителями конечных устройств. В первом случае компанию сложно упрекнуть, поскольку каждая созданная человеком совокупность безопасности им же возможно и взломана. В итоге приходится отысканные уязвимости, но при с Android не все так легко. Гугл скоро производит обновления ОС для собственных смартфонов, но это ПО весьма медлительно адаптируется для устройств от вторых производителей, включая наибольших игроков рынка наподобие HTC, Samsung либо Motorola. Уже пара месяцев известно о разнообразные уязвимостях в Android 2.2, но довольно много устройств до сих пор применяют эту ОС и более ранние сборки также.

Создатель: ITC.UA

Интересно почитать:

Примерно 80% всех смартфонов на Android имеют критическую уязвимость


Комментарии и пинги к записи запрещены.

Комментарии закрыты.