Дыру в Android заткнули лишь частично

≡ Безопасность | Новости | 19.05.2011 16:13

Компания Google приняла меры для устранения серьёзной уязвимости, которой подвержены более 99% существующих Android-устройств, сообщает The Register.

"Сегодня мы начинаем распространять исправление, касающееся потенциальной уязвимости безопасности, которая при определённых обстоятельствах может предоставить третьей стороне доступ к данным из календаря и списка контактов, — заявил представитель компании. — Исправление не требует от пользователей каких-либо действий и будет распространено повсеместно в течение ближайших нескольких дней".

Проблема связана с передачей данных через открытые WiFi-сети. Частично о ней говорили ещё как минимум в конце прошлого года, но в полной мере её удалось оценить лишь недавно, благодаря немецким экспертам из Университета Ульма.

Выяснилось, что проблема затрагивает как гугловские сервисы синхронизации данных, так и сторонние Android-приложения, использующие для работы с данными протокол аутентификации ClientLogin и работающие под управлением Android версий 2.3.3 и ниже (а также, частично, 2.3.4). По данным статистики двухнедельной давности, речь идёт о 99,7% Android-устройств.

При использовании ClientLogin приложение запрашивает у сервера Google ключ аутентификации, который затем используется для взаимодействия с API сервиса. Если это взаимодействие производится по незащищённому HTTP-протоколу, ключ аутентификации может стать лёгкой добычей гипотетических злоумышленников. Соответственно, те могут использовать его для получения произвольного доступа к персональным данным, управление которыми осуществляется данным способом.

Более того, каждый ключ аутентификации действителен в течение двух недель. Теоретически перехват таких ключей можно поставить "на поток" через поддельные WiFi-хотспоты, считают исследователи.

Они предложили список мер, которые могли бы принять пользователи, разработчики Android-приложений и Google, чтобы защититься от данной угрозы. Похоже, в Google частично прислушались к этим советам.

Следует, однако, обратить внимание на то, что представитель компании говорил только о календаре и контактах, в то время как проблема касается и других сервисов, в том числе и гугловских. К тому же, в Android 2.3.4 календарь и список контактов уже были "насильно" переведены в защищённый режим синхронизации данных (по HTTPS), но, к примеру, Picasa осталась уязвимой. Представитель Google говорит, что его компания всё ещё изучает заявления немецких исследователей.

Как следствие, пользователям лучше не расслабляться, а самостоятельно озаботиться своей безопасностью. Советы следующие: (а) по возможности обновиться до 2.3.4; (б) выключить автоматическую синхронизацию при подключении через открытые WiFi-сети; (в) включить настройку "забывания" открытых точек доступа, к которым устройство подключалось ранее и (г) стараться вообще избегать открытых WiFi-сетей.

Разработчикам Android-приложений тоже стоит принять определённые меры — прежде всего, наделить свои приложения способностью обмена данными по HTTPS-протоколу.

Во многом ситуация осложняется давней проблемой фрагментации "Андроида". В мире существует масса устройств, работающих под управлением старых версий этой платформы, и далеко не все производители этих аппаратов прилагают усилия к поддержке актуальности своих сборок.

На прошедшей недавно конференции Google I/O компания Google объявила о новой инициативе по устранению данной проблемы. В идеале пользователи всех Android-устройств в течение полутора лет с момента выхода их на рынок будут получать самые свежие обновления системы. Удастся ли добиться этого идеала на практике, покажет время.

комментарии(0) |

разделы: Новости | Безопасность

Материалы по теме

Google и Apple судят за мобильную слежку
56 опасных приложений неделю раздавались на Android Market
Приложения для смартфонов скрывают шпионские опции
Google Street View шпионит за WiFi-сетями