Подавляющее большинство Android-устройств не способно обеспечить безопасность пользовательским данным. Злоумышленники могут получить доступ к контактам Google Mail, календарю, альбомам Picasa и даже к паролям от аккаунтов Twitter и Facebook.
Ученые из Университета Ульма (Германия) провели исследование, в ходе которого выяснили, что мобильные устройства, работающие под управлением операционной системы Google Android, не способны обеспечить безопасность пользовательским данным. Уязвимость в ОС Android, связанная с некорректной работой протокола ClientLogin, позволяет хакерам получить доступ к логинам и паролям от большинства сервисов Google, сообщает ресурс Newsfactor.com.
Для работы с некоторыми приложениями пользователю требуется вводить идентификационные данные, а для того, чтобы не делать этого каждый раз, в ClientLogin создается цифровой ключ (authToken), который передается в виде незашифрованного текстового файла и в течение двух недель хранится на устройстве. Если пользователь выходит в Интернет в незащищенной WiFi-сети (например, в кофейне), доступ к этим данным легко могут получить злоумышленники. А поскольку некоторые приложения периодически самостоятельно подключаются к Интернету для передачи, например, геолокационных данных, пользователь может и не подозревать о том, что стал жертвой киберпреступников.
Исследователи Бастиан Конингс (Bastian Konings), Йенс Никелс (Jens Nickels), и Флориан Шауб (Florian Schaub), вдохновились примером коллеги из Принстонского Центра исследований информационных технологий Дэна Уоллака (Dan Wallach), который описал в своем блоге потенциальные риски, связанные с использованием Android-устройств в незащищенных WiFi-сетях. Уоллак, в частности, отметил, что злоумышленники могут получить доступ к записям в календаре Google и, вероятно, могут менять или удалять информацию пользователя.
В ходе проведенной работы, немецкие исследователи выяснили, что используя цифровой ключ authToken, злоумышленники действительно могут получить доступ ко многим данным, например, к контактам Google Mail, календарю, или к частным веб-альбомам Picasa. При этом они могут не только просматривать, но и изменять или удалять контакты, записи в календаре, веб-альбомы пользователя. Также мошенники могут перехватывать деловую переписку жертвы, содержащую конфиденциальную информацию. Помимо прочего, хакеры могут получить пароли от аккаунтов Twitter и Facebook, которые передаются через протокол без шифровки.
По заключению немецких специалистов, более 99% устройств на платформе Android — смартфоны, планшеты, смартбуки — являются уязвимыми для хакеров. В ходе исследования проверке подверглись устройства с ОС Android версий 2.1, 2.2, 2.2.1, 2.3.3, 2.3.4 и 3.0. В тестах участвовали разнообразные Android-смартфоны и планшетные компьютеры, включая HTC Nexus One, HTC Desire, HTC Incredible S и Motorola Xoom. Вывод исследователей неутешителен: любое из этих устройств с ОС Android до версии 2.3.3 полностью или частично открыто для атак, сообщает Informationweek.com.
Причем проблема касается не только приложений, разработанных непосредственно Google, но и всех сторонних приложений, использующих протокол ClientLogin.
Исследователи полагают, что решением проблемы может стать переход приложений, которые используют ClientLogin, на более безопасный протокол авторизации OAuth, а вместо HHTP-соединений предлагается переключится на зашифрованный HTTPS. Кроме того, должен быть уменьшен срок хранения цифровых ключей непосредственно на устройстве.
В новых версиях операционной системы (2.3.4 и 3) разработчики постарались уменьшить уязвимость ClientLogin, переключив передачу данных на HTTPS-канал. Однако некоторые сервисы, например, веб-альбомы Picasa, по-прежнему уязвимы. Но поскольку последние версии ОС пока очень мало распространены, практически каждому пользователю «андроида» потенциально угрожает опасность.
Сократить риски можно, не дожидаясь обновления системы от разработчиков — для этого необходимо следовать стандартным правилам безопасности в Интернете. Во-первых, не стоит скачивать и устанавливать на свой телефон неизвестные программы, тем более, если они запрашивают дополнительные данные (адрес электронной почты и т.п.). Также не следует без особой необходимости выходить в Интернет в общественных WiFi-сетях. Если же это приходится сделать, следует убедиться в безопасности точки доступа (зачастую злоумышленники маскируют свои точки доступа под настоящую публичную сеть). Кроме того, желательно отключать автоматическое интернет-соединение в настройках телефона, если Сеть не нужна в настоящий момент.
Еще одно дырявое ведро, как инструмент для глобальной слежки США
Если "глобальной слежке США" понадобятся данные, то она напрямую обратится в Google. Здесь же идет речь об обычных дырках в безопасности, которые залатываются.
Вопросы по теме. Код Andriod открыт. Кто-нибудь разрабатывает по-настоящему открытую альтернативу ему? Как там поживает MeeGo? Пользоваться уже можно?