Τρύπα ασφαλείας απειλεί το 99% των κινητών Android
Σύμφωνα με Γερμανούς ερευνητές, το 99% των συσκευών Android βρίσκονται σε πιθανό κίνδυνο λόγω μίας ευπάθειας η οποία θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να τρυπώσουν στις πληροφορίες που έχουν οι χρήστες της συσκευής στο Ημερολόγιο και στις Επαφές τους στο Google.
H ανακάλυψη των ερευνητών του Πανεπιστημίου του Ulm φέρνει στο φως ένα σοβαρό ζήτημα ασφάλειας, και υπογραμμίζει την δυσκολία που φαίνονται να αντιμετωπίζουν πολλοί κάτοχοι κινητών Android στο να διατηρούν το κινητό τους με τις τελευταίες ενημερώσεις του λογισμικού.
Σύμφωνα με την έκθεση των Bastian Könings, Jens Nickels, και Florian Schaub, με τον τίτλο "Catching AuthTokens in the Wild: The Insecurity of Google's ClientLogin Protocol" («Ψαρεύοντας Μάρκες Πιστοποίησης στον αέρα: Το ανασφάλιστο πρωτόκολλο της Google στην σύνδεση πελατών»), σε Android 2.3.3 και παλιότερες εκδόσεις οι εφαρμογές του Ημερολογίου και των επαφών στέλνουν πληροφορίες χωρίς ασφάλεια, μέσω πρωτοκόλλου HTTP, και παίρνουν μία Μάρκα Πιστοποίησης (authToken) από την Google.
Αυτό σημαίνει ότι υπάρχει η δυνατότητα από επίδοξους εγκληματίες να υποκλέψουν μέσω κυκλοφορίας WiFi την Μάρκα αυτή που μόλις δημιούργησε το κινητό.
Καθώς τα authTokens μπορούν να χρησιμοποιούνται για αρκετές ημέρες για τις συγκεκριμένες λειτουργίες, οι hackers μπορούν να τα εκμεταλλευθούν αποκτώντας πρόσβαση σε πληροφορίες που θα μπορούσαν να είναι ιδιωτικές και ευαίσθητες. Οι ερευνητές βρήκαν επίσης ότι τα authTokens δεν συνδέονται με κάποιο συγκεκριμένο τηλέφωνο, οπότε μπορούν να χρησιμοποιηθούν εύκολα για να κοροϊδέψουν το σύστημα παριστάνοντας άλλες συσκευές.
Τα παραπάνω είναι πραγματικό πρόβλημα αν κάνετε χρήση ξεκλείδωτων ασύρματων δικτύων WiFi, όπως αυτά που υπάρχουν σε καταστήματα και ξενοδοχεία.
Σύμφωνα με τους ερευνητές, η Google έχει διορθώσει το πρόβλημα στην έκδοση Android 2.3.4 αλλά εδώ είναι η δυσκολία: Πόσοι άνθρωποι τρέχουν ακόμα τις παλιότερες εκδόσεις του λειτουργικού συστήματος Android;
Περίπου το 99% των χρηστών Android είναι ευπαθείς στο πρόβλημα, αφού δεν έχουν αναβαθμίσει τις συσκευές τους στην τελευταία έκδοση 2.3.4 (με την κωδική ονομασία "Gingerbread").
Δυστυχώς δεν είναι πάντα δυνατή η αναβάθμιση του λογισμικού της συσκευής, αφού εξαρτάται τόσο από τον κατασκευαστή του κινητού όσο και από τον πάροχο κινητής τηλεφωνίας.
Υπάρχει μια τεράστια γκάμα κινητών Android, και ενώ για την Apple είναι εύκολο να εκδώσει μία αναβάθμιση για όλες τις συσκευές της, τα πράγματα δεν είναι τόσο απλά για τους πελάτες της Google. Αυτό ο κατακερματισμός αναγκαστικά αφήνει τις συσκευές ευαίσθητες σε προβλήματα ασφαλείας.
Ευτυχώς, η Google φαίνεται πως γνωρίζει το πρόβλημα, και λέει ότι θα δουλέψει πιο στενά με τους κατασκευαστές και τους παρόχους κινητής τηλεφωνίας ώστε να σιγουρέψει πως, στο μέλλον, οι πελάτες της θα μπορούν να έχουν την τελευταία έκδοση λογισμικού.
Πηγή: sophos.com [via]
H ανακάλυψη των ερευνητών του Πανεπιστημίου του Ulm φέρνει στο φως ένα σοβαρό ζήτημα ασφάλειας, και υπογραμμίζει την δυσκολία που φαίνονται να αντιμετωπίζουν πολλοί κάτοχοι κινητών Android στο να διατηρούν το κινητό τους με τις τελευταίες ενημερώσεις του λογισμικού.
Σύμφωνα με την έκθεση των Bastian Könings, Jens Nickels, και Florian Schaub, με τον τίτλο "Catching AuthTokens in the Wild: The Insecurity of Google's ClientLogin Protocol" («Ψαρεύοντας Μάρκες Πιστοποίησης στον αέρα: Το ανασφάλιστο πρωτόκολλο της Google στην σύνδεση πελατών»), σε Android 2.3.3 και παλιότερες εκδόσεις οι εφαρμογές του Ημερολογίου και των επαφών στέλνουν πληροφορίες χωρίς ασφάλεια, μέσω πρωτοκόλλου HTTP, και παίρνουν μία Μάρκα Πιστοποίησης (authToken) από την Google.
Αυτό σημαίνει ότι υπάρχει η δυνατότητα από επίδοξους εγκληματίες να υποκλέψουν μέσω κυκλοφορίας WiFi την Μάρκα αυτή που μόλις δημιούργησε το κινητό.
Καθώς τα authTokens μπορούν να χρησιμοποιούνται για αρκετές ημέρες για τις συγκεκριμένες λειτουργίες, οι hackers μπορούν να τα εκμεταλλευθούν αποκτώντας πρόσβαση σε πληροφορίες που θα μπορούσαν να είναι ιδιωτικές και ευαίσθητες. Οι ερευνητές βρήκαν επίσης ότι τα authTokens δεν συνδέονται με κάποιο συγκεκριμένο τηλέφωνο, οπότε μπορούν να χρησιμοποιηθούν εύκολα για να κοροϊδέψουν το σύστημα παριστάνοντας άλλες συσκευές.
Τα παραπάνω είναι πραγματικό πρόβλημα αν κάνετε χρήση ξεκλείδωτων ασύρματων δικτύων WiFi, όπως αυτά που υπάρχουν σε καταστήματα και ξενοδοχεία.
Σύμφωνα με τους ερευνητές, η Google έχει διορθώσει το πρόβλημα στην έκδοση Android 2.3.4 αλλά εδώ είναι η δυσκολία: Πόσοι άνθρωποι τρέχουν ακόμα τις παλιότερες εκδόσεις του λειτουργικού συστήματος Android;
Περίπου το 99% των χρηστών Android είναι ευπαθείς στο πρόβλημα, αφού δεν έχουν αναβαθμίσει τις συσκευές τους στην τελευταία έκδοση 2.3.4 (με την κωδική ονομασία "Gingerbread").
Δυστυχώς δεν είναι πάντα δυνατή η αναβάθμιση του λογισμικού της συσκευής, αφού εξαρτάται τόσο από τον κατασκευαστή του κινητού όσο και από τον πάροχο κινητής τηλεφωνίας.
Υπάρχει μια τεράστια γκάμα κινητών Android, και ενώ για την Apple είναι εύκολο να εκδώσει μία αναβάθμιση για όλες τις συσκευές της, τα πράγματα δεν είναι τόσο απλά για τους πελάτες της Google. Αυτό ο κατακερματισμός αναγκαστικά αφήνει τις συσκευές ευαίσθητες σε προβλήματα ασφαλείας.
Ευτυχώς, η Google φαίνεται πως γνωρίζει το πρόβλημα, και λέει ότι θα δουλέψει πιο στενά με τους κατασκευαστές και τους παρόχους κινητής τηλεφωνίας ώστε να σιγουρέψει πως, στο μέλλον, οι πελάτες της θα μπορούν να έχουν την τελευταία έκδοση λογισμικού.
Πηγή: sophos.com [via]
Read more: TECH&TECH: Τρύπα ασφαλείας απειλεί το 99% των κινητών Android
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου