РАЗДЕЛЫ
Архив
|
Дыру в Android заткнули лишь частично≡ Безопасность | Новости | 19.05.2011 16:13 Компания Google приняла меры для устранения серьёзной уязвимости, которой подвержены более 99% существующих Android-устройств, "Сегодня мы начинаем распространять исправление, касающееся потенциальной уязвимости безопасности, которая при определённых обстоятельствах может предоставить третьей стороне доступ к данным из календаря и списка контактов, — заявил представитель компании. — Исправление не требует от пользователей каких-либо действий и будет распространено повсеместно в течение ближайших нескольких дней". Проблема связана с передачей данных через открытые WiFi-сети. Частично о ней говорили ещё как минимум в конце прошлого года, но в полной мере её Выяснилось, что проблема затрагивает как гугловские сервисы синхронизации данных, так и сторонние Android-приложения, использующие для работы с данными протокол аутентификации ClientLogin и работающие под управлением Android версий 2.3.3 и ниже (а также, частично, 2.3.4). По данным статистики двухнедельной давности, речь идёт о 99,7% Android-устройств. При использовании ClientLogin приложение запрашивает у сервера Google ключ аутентификации, который затем используется для взаимодействия с API сервиса. Если это взаимодействие производится по незащищённому HTTP-протоколу, ключ аутентификации может стать лёгкой добычей гипотетических злоумышленников. Соответственно, те могут использовать его для получения произвольного доступа к персональным данным, управление которыми осуществляется данным способом. Более того, каждый ключ аутентификации действителен в течение двух недель. Теоретически перехват таких ключей можно поставить "на поток" через поддельные WiFi-хотспоты, считают исследователи. Они предложили список мер, которые могли бы принять пользователи, разработчики Android-приложений и Google, чтобы защититься от данной угрозы. Похоже, в Google частично прислушались к этим советам. Следует, однако, обратить внимание на то, что представитель компании говорил только о календаре и контактах, в то время как проблема касается и других сервисов, в том числе и гугловских. К тому же, в Android 2.3.4 календарь и список контактов уже были "насильно" переведены в защищённый режим синхронизации данных (по HTTPS), но, к примеру, Picasa осталась уязвимой. Представитель Google говорит, что его компания всё ещё изучает заявления немецких исследователей. Как следствие, пользователям лучше не расслабляться, а самостоятельно озаботиться своей безопасностью. Советы следующие: (а) по возможности обновиться до 2.3.4; (б) выключить автоматическую синхронизацию при подключении через открытые WiFi-сети; (в) включить настройку "забывания" открытых точек доступа, к которым устройство подключалось ранее и (г) стараться вообще избегать открытых WiFi-сетей. Разработчикам Android-приложений тоже стоит принять определённые меры — прежде всего, наделить свои приложения способностью обмена данными по HTTPS-протоколу. Во многом ситуация осложняется давней проблемой фрагментации "Андроида". В мире существует масса устройств, работающих под управлением старых версий этой платформы, и далеко не все производители этих аппаратов прилагают усилия к поддержке актуальности своих сборок. На прошедшей недавно конференции Google I/O компания Google комментарии(0) | разделы: Новости | Безопасность Материалы по теме Google и Apple судят за мобильную слежку Другие новости |
Последние комментарии
Гость про Суд велел "Твиттеру" сдать сторонников WikiLeaks (12)
Гость про Книгоиздатели начали судиться с торрентами (2)
l_e_x_a про "ВКонтакте" принудительно протестирует пользователей (35)
andrey_kadetov про Google назвал Facebook "ловушкой без выхода" (6)
volv про День папуасского робошахтёра (14)
l_e_x_a про Русские кликботы признаны самыми активными (11)
все комментарии looli спрашивает: Земля вампиров смотреть онлайн в HD качестве looli спрашивает: Зеленый Фонарь смотреть онлайн в HD качестве looli спрашивает: Защитник смотреть онлайн в HD качестве looli спрашивает: Запретная зона смотреть онлайн в HD качестве looli спрашивает: Закон доблести смотреть онлайн в HD качестве looli спрашивает: Вышибала смотреть онлайн в HD качестве looli спрашивает: Встречный ветер смотреть онлайн в HD качестве looli спрашивает: Все любят китов смотреть онлайн в HD качестве |
Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.