99,7 % telefonů s Androidem trpí zranitelností, kterou mohou unikat uživatelská data

Němečtí výzkumníci z Ulmské univerzity tvrdí, že takřka všechny smartphony s operačním systémem Android trpí chybou, kterou mohou unikat přihlašovací údaje uživatelů.

Podle jejich zjištění chyba leží ve způsobu, jak se Android domlouvá se službami Googlu (Calendar a Sync), jak se vyměňují autorizační údaje. Problém je, že tokeny jsou přes bezdrátové sítě odesílány v plain textu (obyčejném textu), tedy nešifrovaně. Takovou komunikaci potom lze odposlouchávat.

V důsledku toho pak útočník může získat jak přihlašovací údaje uživatelů, tak i jejich osobní informace a údaje uložené v rámci služeb Googlu. Podle německých odborníků je další potíž ta, že používané tokeny nejsou unikátní přístroj od přístroje, ale stejné -- takže útočníci mohou odposlouchávat více přístrojů.

Dále popsali i jednoduchý způsob, jak získat data od co nejvíce uživatelů -- a to přes bezdrátové AP, kdy WiFi síť nese nějaké často používané jméno (uvádějí např. T-Mobile, attwifi, starbucks). Při zachování výchozího nastavení se pak přístroj automaticky k síti připojí (když byl ke stejnojmenné síti připojen dřív) a útočník má vše na dlani.

Uživatelům se proto radí, aby používali Android 2.3.4, který podporuje šifrované HTTPS pro Google Calendra a Contacts sync. Problémem však je, že dost dlouho trvá, než daný operátor/výrobce aktuální verzi Androidu zpřístupní ke stažení. Další radou je vypnutí automatické synchronizaci pro WiFi.  

18. 5. 2011

Autor: Redakce DSL.cz