Современные мобильные устройства содержат много личной информации своих владельцев, которая может представлять интерес для посторонних лиц. Как выяснилось, практически каждый Android-смартфон имеет серьезные проблемы, связанные с безопасностью персональных данных пользователя.
«Дыру» в операционной системе Android обнаружили, к счастью, не хакеры, а германские исследователи в сфере безопасности из Ульмского университета. Они выяснили, что любой смартфон под управлением ОС Android версии 2.3.3 и ниже имеет уязвимость, которая дает возможность злоумышленникам похищать пользовательские контакты, пароли для доступа к различным интернет-сервисам, записи в органайзере и другие данные, хранящиеся на серверах Google. Таким образом, более 99% смартфонов на базе Android потенциально подвержены утечке данных.
Проблема связана с протоколом авторизации ClientLogin в ОС Android 2.3.3 и всех ранних версиях. Когда пользователь Android-устройства регистрируется на сайте, для доступа к которому необходимо вводить логин или пароль, эти данные отправляются на сервер в зашифрованном виде, а в ответ устройство получает authTokens — цифровой «ключ пользователя», который отправляется в незашифрованном виде. Так как срок действия этого ключа составляет 14 дней, на протяжении этого периода похитившие ключи хакеры смогут получить несанкционированный доступ к вашим аккаунтам. Исследователи подчеркивают, что этот ключ особенно легко перехватывается в публичных незащищенных точках доступа Wi-Fi, (например «Макдональдс» и т. д.)
Официально Google пока никак не прокомментировала данные об "уязвимости 99% Android-устройств". Приемлемым решением может стать шифрованная передача authTokens, и Google уже применила ее в версии Android 2.3.4, но эта версия ОС на данный момент доступна только для смартфонов Nexus S и Nexus One, а остальные 99,9% устройств под управлением более ранних версий остались беззащитны.
Оксана Шептуха
