Według doniesień redakcji The Register, w systemie operacyjnym Android znajduje się luka w zabezpieczeniach, dzięki której włamywacz może poznać nasz login i hasło do konta Google.
Usterka polega ponoć na niepoprawnej implementacji protokołu ClientLogin w systemach Android 2.3.3 Gingerbread i wszystkich starszych. Usterka powoduje, że przez 14 dni nasze konto jest dostępne dla każdego, kto przechwyci token logowania.
Po tym, jak podamy w telefonie swój login do konta Google, Twittera, Facebooka czy innego obsługiwanego, telefon otrzymuje token o ważności 14 dni, który jest przesyłany w sposób nieszyfrowany, za pomocą czystego tekstu („plain text”). Token wystarczy, by móc przez 14 dni mieć nielimitowany dostęp do naszego konta (lub zmianę hasła i posiadanie dostępu na dużo dłużej…). Ów token podsłuchać można dość łatwo, jeżeli posługujemy się publiczną siecią WiFi.
Jedyną radą jest korzystanie tylko i wyłącznie z szyfrowanych sieci bezprzewodowych i czekać na aktualizację systemu. Biorąc pod uwagę jednak ociężałość producentów telefonów i operatorów komórkowych, może upłynąć nieco czasu zanim (jak zakładamy) błyskawicznie opracowana przez Google’a łatka trafi do użytkowników końcowych…


chip.pl