Hesla většiny uživatelů Androidu mohou být zneužita

Vědci z univerzity v německém Ulmu zveřejnili výsledky svého nejnovějšího výzkumu a zdá se, že i Android bude muset řešit bezpečnostní skandál. Skupina výzkumníků totiž zjistila, že pokud uživatel Androidu přistupuje k heslem chráněným službám prostřednictvím nezabezpečené Wi-Fi sítě, hackeři mohou snadno ukrást a zneužít přístupové tokeny, které se ukládají do jeho telefonu.

Problém je pravděpodobně spjatý s autentikačním protokolem nazvaným ClientLogin, který je používaný ve verzi Androidu 2.3.3 a novějších. Bezpečnostní mezera se tak týká prakticky všech androidových telefonů.

Poté, co uživatel vloží své identifikační údaje ke službám jako Facebook, Twitter či Google Calendar, obdrží na svůj telefon autentifikační token, který je přenášen v otevřeném textu. Každý token má platnost dvou týdnů. Když se podaří hackerovi vaše tokeny přečíst, může je během těchto dvou týdnů zneužívat k autorizovanému přístupu k vašim účtům.

Google už sice vydal patch, který má řešit bezpečnostní mezeru ClientLogin protokolu, tato záplata nicméně funguje jen pro verze Androidu 2.3.4 a 3.0. Znamená to, že přibližně 99 procent uživatelů Androidu stále nemá přístup k opravenému kódu. Na oficiální vyjádření Googlu k celé situaci se zatím čeká.

Via MC, RWW