Добро пожаловать.

(4212) 24-24-29
г. Хабаровск,
ул. Ким Ю Чена, д. 38,
оф. 203.
studio@khvweb.com
211-028-011
Рады видеть Вас в блоге нашей студии! Здесь мы копим нужную, а иногда просто интересную информацию о создании сайтов. Категории:
Статьи
Новости Интернета
Новости студии
Обзоры
Публикации


http://tristone-ru.ru/ искусственный камень Tristone.
Главная » Блог » Новости Интернета

Данные пользователей нетрудно похитить с 99% Android-смартфонов



С подавляющего большинства смартфонов, работающих на мобильной операционной системе Google Android, могут быть легко похищены логины и пароли, которые используются для доступа к онлайн-сервисам поискового гиганта. Высокая уязвимость "гуглофонов" для кибератак связана с некорректной работой протокола авторизации ClientLogin версиях Android 2.3.3 и ниже.

После того как пользователь отправляет свои учетные данные на сервисы Google, ClientLogin получает так называемый жетон авторизации (authToken), который в течение двух недель хранится на устройстве в виде обычного текста. Как удалось выяснить исследователям из немецкого Университета Ульма, этот незашифрованный файл могут прочитать злоумышленники для несанкционированного доступа к аккаунту пользователя.

В феврале были найдены аналогичные "дыры" в системе безопасности Android, через которые хакеры могли получить данные для доступа в Facebook, Twitter и Google Календарь. Такие атаки могут быть проведены, если устройство используется в незащищенных сетях (к примеру, если оно подключено через публичный хот-спот Wi-Fi).

Ранее в мае Google устранила эту уязвимость, выпустив "заплатку" вместе с Android 2.3.4, однако эта версия, а также 3.0 (Honeycomb), вероятно, по-прежнему передает конфиденциальные данные через незашифрованные каналы, полагают исследователи. Учитывая собственную статистику Google, это значит, что для атак уязвимы более 99% Android-смартфонов, пишет в The Register.

Исследователи полагают, что те приложения, которые используют ClientLogin, должны немедленно перейти на зашифрованный протокол https (либо сделать выбор в пользу более надежного протокола oAuth). Специалисты также советуют уменьшить срок хранения жетонов авторизации и отклонять запросы ClientLogin на небезопасные соединения по http-каналу.


Теги: Android

Комментарии