18.05.2011, 10:36
Szacunkowo 99,7% smartfonów z Androidem może być zagrożonych wyciekiem danych logowaniai może dać innym dostęp do informacji przechowywanych w chmurze. Informacje te na swoim blogu ogłosili niemieccy badacze zabezpieczeń z uniwersytetu w Ulm - Bastian Könings, Jens Nickels i Florian Schaub. Dziura w zabezpieczeniu została odkryta przez naukowców w zastosowaniu tokenów, które jak się okazało czasem są przesyłane w sieciach bezprzewodowych w postaci zwykłego teksu. To oznacza, że każdy kto podsłuchuje sieć bez większych problemów może taki token przechwycić i przejąć dane użytkownika. Co gorsze - tokeny nie są specyficzne, z czego wynika, że token przeznaczonych do jednego urządzenia może być wykorzystany na innym.
Na podstawie ich informacji Zdnet.com opublikował swój artykuł, z którego krótki cytat
"A whopping 99.7% of Android smartphones are leaking login data for Google services, and could allow other access to information stored in the cloud, so claim German security researchers Bastian Könings, Jens Nickels, and Florian Schaub from the University of Ulm.
The problem is in the way that applications which deal with Google services request authentication tokens. These tokens are handy in that they eliminate the need for the user to login to the service, but as the researcher discovered these tokens are sometimes sent in plaintext form over wireless networks. This means that anyone who happened to be eavesdropping on the WiFi network could grab these tokens."
Uploaded with
"* Until Android 2.3.3 the Calendar and Contacts apps transmit any request in the clear via http and are therefore vulnerable to the authToken attack. This affects 99.7% of all Android smartphones (stats from 2nd of May 2011). Since Android 2.3 the Gallery app provides Picasa Web Albums synchronization which is also not encrypted.
* Since Android 2.3.4, the Calendar and Contacts apps are using a secure https connection. However, the Picasa synchronization is still using http and thus is still vulnerable.
* Our sniffed authTokens were valid for several days (14 days for a sniffed Calendar authToken), which enables adversaries to comfortably capture and make use of tokens at different times and locations."
Na podstawie ich informacji Zdnet.com opublikował swój artykuł, z którego krótki cytat
"A whopping 99.7% of Android smartphones are leaking login data for Google services, and could allow other access to information stored in the cloud, so claim German security researchers Bastian Könings, Jens Nickels, and Florian Schaub from the University of Ulm.
The problem is in the way that applications which deal with Google services request authentication tokens. These tokens are handy in that they eliminate the need for the user to login to the service, but as the researcher discovered these tokens are sometimes sent in plaintext form over wireless networks. This means that anyone who happened to be eavesdropping on the WiFi network could grab these tokens."
[Aby zobaczyć linki, zarejestruj się tutaj]
Na blogu przekazano szczegółowe informacje dotyczące przetestowanych wersji Androida, sprzętu oraz aplikacji w których wykryto podatność - wynik testu na screenie[Aby zobaczyć linki, zarejestruj się tutaj]
Uploaded with
[Aby zobaczyć linki, zarejestruj się tutaj]
"* Until Android 2.3.3 the Calendar and Contacts apps transmit any request in the clear via http and are therefore vulnerable to the authToken attack. This affects 99.7% of all Android smartphones (stats from 2nd of May 2011). Since Android 2.3 the Gallery app provides Picasa Web Albums synchronization which is also not encrypted.
* Since Android 2.3.4, the Calendar and Contacts apps are using a secure https connection. However, the Picasa synchronization is still using http and thus is still vulnerable.
* Our sniffed authTokens were valid for several days (14 days for a sniffed Calendar authToken), which enables adversaries to comfortably capture and make use of tokens at different times and locations."
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
