Майже всі телефони на Android “зливають” конфіденційні персональні дані – тести

Проблеми Google з конфіденційністю тільки погіршилися. Згідно з дослідженням, проведеним вченими одного з німецьких університетів, більше 99 відсотків всіх смартфонів, які працюють під управлінням операційної системи Android від Google, можуть бути легко проникнуті мобільними хакерами. Потім зловмисники можуть використовувати “витік” даних, щоб видати себе за законного користувача, і отримати доступ до онлайн-акаунтів, таких як Google Calendar, Twitter і Facebook.

За словами дослідників Ульмського університету Бастіана Конінгса, Йенса Нікельса і Флоріана Шауба, уразливість Android пов’язана з неправильною реалізацією протоколу ClientLogin, який використовується в Android версій 2.3.3 і раніше, повідомляє The Register . Після того, як користувач вводить свої реєстраційні дані, ClientLogin отримує маркер аутентифікації, який відправляється у вигляді відкритого текстового файлу. Оскільки маркер аутентифікації (authToken) може використовуватися багаторазово протягом 14 днів, хакери можуть отримати доступ до інформації, що зберігається у файлі, і використовувати її для своїх мерзенних цілей.

“Ми захотіли дізнатися, чи дійсно можливо провести атаку на сервіси Google під чужим ім’ям, і почали власний аналіз, – пишуть дослідники у своєму блозі. “Коротка відповідь: так, це можливо, і зробити це досить легко. Більш того, атака не обмежується Google Календарем і Контактами, а теоретично можлива з усіма сервісами Google, що використовують протокол аутентифікації ClientLogin для доступу до своїх API даних”.

Як би погано це не звучало для користувачів Android, такий тип атаки може бути здійснений тільки тоді, коли пристрій Android використовує незахищену мережу, наприклад, точку доступу Wi-Fi, для відправки даних. Дослідники кажуть, що хакери можуть здійснити таку атаку, коли пристрій підключений до мережі, яка знаходиться під їхнім контролем.

“Щоб зібрати такі авторизаційні токени у великих масштабах, зловмисник може встановити точку доступу Wi-Fi із загальним SSID (злий двійник) незашифрованої бездротової мережі, наприклад, T-Mobile, attwifi, Starbucks”, – пишуть дослідники. “За замовчуванням телефони Android автоматично підключаються до раніше відомої мережі, і багато додатків намагаються негайно синхронізуватися. Хоча синхронізація буде невдалою (якщо тільки зловмисник не переадресує запити), зловмисник захопить авторизаційні токени для кожного сервісу, який намагався синхронізуватися”.

Дослідники пропонують кілька способів вирішення проблеми, як для розробників додатків, так і для користувачів Google і Android. Розробники, чиї програми використовують ClientLogin, “повинні негайно перейти на https”, кажуть дослідники. А Google має обмежити термін дії токену аутентифікації та обмежити автоматичне підключення лише до захищених мереж. Користувачам Android слід якомога швидше оновити свої пристрої до версії 2.3.4, кажуть вони, а також відключити автоматичну синхронізацію при підключенні до Wi-Fi, або повністю уникати незахищених мереж Wi-Fi.

Рекомендації редакції

• Топ-9 Instagram: як побачити свої 9 найкращих фотографій 2022 року
• Щойно придбали новий iPhone? Ось 12 порад і підказок, як його освоїти
• Що таке Amazon Music: все, що потрібно знати
• Як скасувати репости в TikTok (і навіщо це робити)
• Підсумки Instagram 2022: як зробити свій річний ролик на кінець року

Source: digitaltrends.com