Ulmo universiteto Vokietijoje specialistai išsiaiškino, jog prietaisai su „Android“ operacine sistema nesaugūs, programišiai lengvai gali pasisavinti vartotojų prisijungimo duomenis – tai jau patvirtino pati „Google“.
Universiteto teigimu, pažeidžiami „Android 2.3.3“ ir senesni prietaisai, kitaip tariant – 99,7 proc. „Android“ išmaniųjų. Saugumo spraga susijusi su netinkamai suprogramuotu prisijungimo protokolu, dar vadinamu „ClientLogin“.
Vartotojui prisijungus su savo duomenimis prie, tarkime, „Google Calendar“, „Twitter“, ar „Facebook“ paslaugų, „ClientLogin“ įrankiui prisijungimo duomenys siunčiami naudojant autentifikavimo žymę, ji užkoduota paprastu tekstu. Bėda ta, jog autentifikavimo žymė serveryje paliekama iki 14 dienų jos prireikus paslaugos teikėjams. Čia ir atsiveria šansas programišiams.
Ataką prieš vartotoją galima surengti pavogus minėtų paslaugų prisijungimo slapukus (angl. cookies), jie naudojami greitam prisijungimui. Norint juos pavogti, vartotojui pakanka prisijungti prie neapsaugoto programišių bevielio tinko.
Universiteto specialistų teigimu, tai nesunku padaryti sukūrus „piktuosius tinklo dvynius“, kuriuos telefonai atpažintų kaip ankstesnius bei mėgintų prisijungti ir atnaujinti programų turinį, taip pateikdami prisijungimo informaciją.
Tuomet šie duomenys būtų akimirksniu pavogti ir piktavaliai galėtų daryti bet ką. „Štai pavyzdys – reklamos tiekėjai gautų visišką prieigą prie vartotojų kalendoriaus, kontaktų informacijos, privačios informacijos, albumų. Jie galėtų peržiūrėti, pakeisti, ištrinti ką panorėję“, – pavojų aiškino universiteto darbuotojai.
„Google“ su šia spraga jau gerai susipažinę bei ją ištaisė vėliausioje 2.3.4 operacinės sistemos versijoje. Tiesa, Ulmo universiteto teigimu, dalis „Google“ paslaugų, pavyzdžiui „Picasa“, vis dar siunčia jautrius duomenis nekoduotais kanalais.
Kol ši bėda bus išspręsta, vertėtų imtis papildomų saugumo priemonių. „Android“ vartotojai turėtų kuo skubiau atnaujinti savo prietaisus, jei tai įmanoma. Tiems, kas negali atnaujinti telefonų programinės įrangos, siūloma išjungti automatinį sinchronizavimą ir nenaudoti šios funkcijos prisijungus prie nežinomų ir neapsaugotų bevielių tinklų.
Antanas Dapkus
