Kompanija „Google“ pranešė pradėjusi taisyti saugumo klaidą leidusią pavogti vartotojų prisijungimo duomenis „Android“ išmaniuosius telefonus prijungus prie neapsaugoto bevielio interneto tinklo. Saugumo klaidą ištaisyta atnaujinus kompanijos serverius.
Klaida leidusi pasivokti kontaktus, kalendorių ir „Picasa“ tinklo albumus susijusi su neapsaugotu „ClientLogin“ vartotojo atpažinimo protokolu – tai pirmiausia telefonų problema, todėl naujasis apsaugos atnaujinimas serveriams negalės apsaugoti ne „Google“ produktų.
Neapsaugoti lieka „Facebook“ ar kitų kompanijų tinklai, prie jų prisijungus su savo duomenimis, „ClientLogin“ įrankiui prisijungimo duomenys siunčiami naudojant autentifikavimo žymę, ji užkoduota paprastu tekstu. Bėda ta, jog autentifikavimo žymė serveryje paliekama iki 14 dienų jos prireikus paslaugos tiekėjams. Kadangi autentifikavimo žymė nekoduota, šičia ir atsiveria šansas programišiams.
Ataką prieš vartotoją galima surengti pavogus minėtų paslaugų prisijungimo slapukus (angl. cookies), jie naudojami greitam prisijungimui. Norint juos pavogti, vartotojui pakanka prisijungti prie neapsaugoto programišių bevielio tinko.
„Android“ prietaisai nesaugūs |
„Google“ su šia spraga jau gerai susipažinę bei ją ištaisė vėliausioje 2.3.4 operacinės sistemos versijoje. Tiesa, šią sistemą šiuo metu naudoja šiek tiek mažiau negu procentas „Android“ prietaisų ir kol ši bėda bus išspręsta, vertėtų imtis papildomų saugumo priemonių.
„Android“ vartotojai turėtų kuo skubiau atnaujint savo prietaisus jei tai įmanoma. Tiems, kas negali atnaujinti telefonų programinės įrangos, siūloma išjungti automatinį sinchronizavimą ir nenaudoti šios funkcijos prisijungus prie nežinomų ir neapsaugotų bevielių tinklų.