„Сакавме да дознаеме дали е навистина лесно да се стартува лажен напад врз Google сервиси и стартувавме наша анализа. Краткиот одговор е: Да, можно е, и е доста лесно да се направи. Дополнително, нападот не е лимитиран само на Google Calendar и Contacts, туку е теоретски можен за сите Google сервиси кои користат ClientLogin протокол за верификација за пристап до нивните API-ја за податоци.“, велат германските истражувачи Бастиан Конинг, Јенс Никелс и Флориан Шауб.
ClientLogin е наменет да се користи за верификација од инстлирани апликации и Android апликации, така што апликацијата праќа барање за токен за верфикација (authToken) од Google сервисите со споделување на корисничко име и лозинка преку HTTPS конекција. Тој authToken ќе може да се користи за понатамошни барања за API-то на сервисот со максимално траење од 2 недели. Но, објаснуваат експертите, ако тој токен се прати преку барање за неенкриптиран http, пример безжична мрежа, крадци ќе можат да го украдат authToken, пример со Wireshark преку кој ќе може да се пристапи до личните податоци на корисници од API-то на сервисот. Бидејќи токените не се врзани со уредите, истите можат да се користат од било каде. Нападот е сличен како крадење колачиња од веб сајтови, односно sidejacking.
Како решение за проблемот, безбедносните експерти сугерираат да се користи oAuth системот за верификување, и му посочуваат на Google да го скратат времетраењето на authToken, нивните сервиси да одбијат ClientLogin барања и лимирање на автоматско конектирање на Wi-Fi мрежи.
Google сé уште нема искоментирано за ова.
| Android version | Calendar Sync | Contacts Sync | Picasa Sync (Gallery) |
|---|---|---|---|
| 3.0 | yes | yes | ? |
| 2.3.4 | yes | yes | no |
| 2.3.3 | no | no | no |
| 2.2.1 | no | no | n/a |
| 2.2 | no | no | n/a |
| 2.1 | no | no | n/a |
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
Се ОК, само не ми е јасно зошто статијава е насловена како "Андроид телефоните пропуштаат лични податоци". Звучи како намерно Андроид телефоните да изложуваат кориснички податоци… ClientLogin како и многу други, скоро сите системи за верификација на сесија, пренесуваат токени или колачиња преку небезбеден канал (обичен текстуален некриптиран http протокол) кои после многу лесно може да се "вметнат" и со тоа да се лажира сесија. Значи во овој случај само е покажано дека и Андроид телефоните се ранливи на таквите напади, кои не се својствени само за Андроид ОС…