Cercetători ai universităţii germane ULM au
scos la iveală o vulnerabilitate care expune majoritatea
telefoanelor cu sistem de operare Android la atacuri
informatice prin care pot fi furate date personale stocate în
memoria telefonului.
Vulnerabilitatea descoperită permite atacatorilor să obţină
datele de autentificare necesare pentru accesarea funcţiei
calendar, agenda de contacte şi alte informaţii stocate pe
serverele Google.
De vină pentru această deficienţă de securitate este
implementarea defectuoasă a unui protocol de autentificare numit
ClientLogin, utilizat de toate versiunile
sistemului de operare Android, inclusiv recent
lansatul
Gingerbread 2.3.3.
La fiecare autentificare, informaţiile relevante pentru
accesarea aplicaţiilor Google Calendar şi
Contacts sunt trimise în format
necriptat, existând posibilitatea ca aceste date să fie
interceptate înainte de a ajunge la destinaţie, putând fi utilizate
apoi pentru accesarea datelor personale ale utilizatorului vizat
timp de 14 zile.
Atacurile realizate prin furtul datelor de autentificare sunt
foarte uşor de realizat, mai ales dacă
utilizatorii vizaţi sunt conectaţi la o reţea wireless
nesecurizată, cum sunt cele întâlnite în locuri publice. Obţinerea
sistematică a datelor de autentificare de la mai mulţi utilizatori
este posibilă prin crearea unui acces point Wi-Fi cu
acelaşi cod SSID de identificare ca una din reţelele
publice aflate în vecinătate, la care telefoanele vizitatorilor
sunt deja configurate să se conecteze automat iar cei nou veniţi nu
au motive să pună la îndoială siguranţa reţelei. De cele mai multe
ori aplicaţiile instalate pe telefoanele Android sunt
configurate să se sincronizeze automat cu
serverele Google de îndată ce o conexiune la internet este
disponibilă. În timp ce sincronizarea printr-un astfel de
hotspot fantomă probabil nu ar reuşi, iniţierea
operaţiunii este suficientă pentru ca atacatorii să obţină datele
de autentificare pentru oricare din aplicaţiile care au încercat să
contacteze serverele Google.
Remedierea acestei probleme ar putea fi surprinzător de simplă,
constând în criptarea protocolului ClientLogin
folosit pentru autentificarea contului de utilizator, urmată de
scurtarea intervalului de timp în care datele folosite pentru
autentificarea sesiunii curente rămân valabile. Din păcate remediul
nu poate sosi decât printr-un pachet de actualizare, oferit pentru
fiecare din dispozitivele cu sistem de operare Android aflate în
circulaţie.