LINUX.ORG.RU

Обнаружена уязвимость, при которой приложения для Android посылают специальный ключ в незашифрованном виде

 , ,


0

2

Исследователи из немецкого университета, расположенном в городе Ульме, нашли уязвимость, которая может привести к перехвату пользовательских данных.

Данная уязвимость проявляется при использовании таких сервисов Google как Picasa, GMail, Google Calendar вкупе со специальным протоколом ClientLogin, который используют все онлайновые приложения для Android. Уязвимость возникает в момент использования этого протокола поверх HTTP-сессии, вместо HTTPS.

Характеризуется дыра в безопасности тем, что при работе через вышеуказанный протокол, операционная система посылает специальный токен для авторизации (authToken) с серверами Google в незашифрованном виде. Как сообщают исследователи, этой уязвимости подвержен даже плагин для подключения к Google Calendar используемый в почтовом клиенте Mozilla Thunderbird на обычных персональных компьютерах.

Очень хорошо эксплуатируется уязвимость в незашифрованных публичных Wi-Fi сетях, когда можно легко перехватить любую чужую сессию вместе с таким ключом и получить доступ к вашим данным. Разработчики компании Google извещены об этой проблеме и работают над её решением. Кроме того, Android версий 2.3.4 и 3.x уже обновлён соответствующим образом, где эта проблема закрыта. Ну, а пользователям пока что рекомендуется включать HTTPS принудительно, для аутентификации на серверах Google.

>>> Подробности

вот поэтому я и говорю - решето.

андроид непонятно зачем базируется на линуксе... ничего лучшего из линуксов он не взял.

BattleCoder ★★★★★ ()

Поздравляю владельцев необновляемых моделей!

Jayrome ★★★★★ ()

> Ну, а пользователям пока что рекомендуется включать HTTPS принудительно, для аутентификации на серверах Google.

Где включать то?)

F457 ★★★ ()

Большой брат не просто следит за нами, но и иногда уступает дырочку в стене туалета другим. Бида-пичаль(

anonymous ()

Так и не понял проблемы - уже 100 лет как стоит «Использовать только https» в настройках аккаунта на гугле...

anonymous ()

> Кроме того, Android версий 2.3.4 и 3.x уже обновлён соответствующим образом,

У меня аппарат на 2.3.4 (кастомная прошивка - miui). Прошивка вышла далеко не вчера. Мне нужно бояться?

andreyu ★★★★★ ()

Хотел тоже сначала крикнуть «решето»... но обычно самые лежащие на поверхности баги почему-то замечаются труднее всего. Только опытной эксплуатацией и, конечно, просмотром множеством глаз.

Так что не торопитесь бросать камень...

hobbit ★★★★★ ()

не понимаю кому может понадобиться не включать https для авторизации. тем более что идет авторизация гуглодевайса на гуглосайте.

почему вообще оставили обычную http авторизацию.

vasaka ★★★ ()
Ответ на: комментарий от F457

> Где включать то?)

echo «127.0.0.1 google.com» >> /etc/hosts

anonymous ()
Ответ на: комментарий от F457

где тыкать

в настройках аккаунтов гугла. авоторизация только https

StReLoK ☆☆ ()

Тоже не нашёл где включить https

impr ()

К.О. на страже, чо

anonymous ()

поздравляю владельцев LG, HTC, ... и прочих зондов имени андроида.

Теперь вам надо купить новый телефон в котором может быть устранят эту проблему.

PS. только вот почему-то у iPhone просто выпускают обновление прошивки - чего не принято у аппаратов на базе Android.

anonymous ()

> Ну, а пользователям пока что рекомендуется включать HTTPS принудительно, для аутентификации на серверах Google.

Выдыхаем, оно там включено по дефолту.

frey ★★ ()

Мы все умрем, да?!

Вторая природа дает своим анальным рабам под зад, а им нравится. Нет, чтобы обернуться лицом обернуться к первой природе и следовать следом за ней, нет - они настойчиво подставляют зад второй :)))

GluckMan ★★★ ()
Ответ на: комментарий от exception13

Восклицаешь, словно до этого андроид не был глючной и дырявой платформой.

tensai_cirno ★★★★★ ()

Включать https в настройках Gmail и т.д. Ставим галочку: Использовать только https

Debi ()
Ответ на: комментарий от Debi

да еще заходим на сайт gmail и там в настройках.

Debi ()
Ответ на: комментарий от anonymous

> поздравляю владельцев LG, HTC, ... и прочих зондов имени андроида.

Спасибо.

Теперь вам надо купить новый телефон в котором может быть устранят эту проблему.


Зачем? Проблема решается установкой https в настройках гугло-аккаута.

PS. только вот почему-то у iPhone просто выпускают обновление прошивки - чего не принято у аппаратов на базе Android.


Как приятно осознавать, что новая прошивка исправляет кучу багов. Только не понимаю, если в Эпле такие грамотные, то почему новые прошивки выходят столь часто?

Про их мега-фейл с xcode 4 даже говорить стесняются.

andreyu ★★★★★ ()
Ответ на: +1 от toogle

>> Где включать то?)

Присоединяюсь к вопросу.


В настройках ящика раздел общие. Но я ф шоке!

valich ★★★ ()

При чем тут андроид вообще - облажались разработчики этих конкретных проприетарных поделок, которые в неофициальные ромы включать даже запрещали.

bender ★★★★★ ()
Ответ на: комментарий от anonymous

> Так и не понял проблемы - уже 100 лет как стоит «Использовать только https» в настройках аккаунта на гугле...

И уже сто лет как оно не работает, а потому всегда выключено. И вообще, удачи тому вору порыться в том хламе что они увидят у меня в ящике.

FeyFre ★★★★ ()
Ответ на: комментарий от FeyFre

> И уже сто лет как оно не работает, а потому всегда выключено.

Внимание! Сотрудники яндекса на ЛОРе!

valich ★★★ ()
Ответ на: комментарий от valich

внезапно.

а когда на яндоксе наконец научатся использовать ssl ?

guyvernk ()
Ответ на: комментарий от FeyFre

> > Так и не понял проблемы - уже 100 лет как стоит «Использовать только https» в настройках аккаунта на гугле...

И уже сто лет как оно не работает, а потому всегда выключено. И вообще, удачи тому вору порыться в том хламе что они увидят у меня в ящике.


У вас какой то особенный гугель. У меня работает. И всегда было включено.

andreyu ★★★★★ ()

поверх HTTP-сессии, вместо HTTPS


ССЗБ

Skeletal ★★★ ()
Ответ на: комментарий от anonymous

> поздравляю владельцев LG, HTC, ... и прочих зондов имени андроида.

Каждый выбирает свой зонд по своей резьбе.

sudosu ()

Не будьте дьяволами например!

Ведь в сети все те, кому есть что скрывать - негодяи!

И если вы один из них, и начнёте высказывать сомнения в прозрачной честности и честной прозрачности нашей прозрачной и честной компании в этом треде, мы пошлём к вам «морских котоиков» и бесплатно захороним в море например

Вам повезёт!

anonymous ()

> работают над её решением. Кроме того, Android версий 2.3.4 и 3.x уже обновлён соответствующим образом, где эта проблема закрыта

Над чем они работают, если проблема уже закрыта? Все ведь давно уже пользуются 2.3.4 на телефонах и 3.1 на планшетах.

philon ()
Ответ на: комментарий от andreyu

> Про их мега-фейл с xcode 4 даже говорить стесняются.

это про смену шорткатов или платность?

vsemprivet ()

> Ну, а пользователям пока что рекомендуется включать HTTPS принудительно, для аутентификации на серверах Google.

Может кто-нибудь дать ссылку не первоисточник, дающий обоснование, почему это действетильно вылечит проблему? Не может такого статься, что телефон пошлёт незашифрованный пароль в первом же своём запросе к серверу и только потом получит отказ, что «https only»? В оригинальном блоговом сообщении единственный совет для старых моделей - делать телефон принудительно «забывать» «хорошую» открытую wi-fi сеть и не пробовать синхронизировать автоматом. Ну или вообще «to avoid open Wifi networks at all when using affected apps.»

vovic ()
Ответ на: комментарий от vovic

Поговорю сам с собой.

Может кто-нибудь дать ссылку

http://www.h-online.com/open/news/item/Android-apps-send-unencrypted-authenti...

The researchers at Ulm university recommend that other app developers use HTTPS throughout or switch to the secure OAuth protocol.

Таким образом, перевод на русский некорректен (или автор лукавит с первоисточником). Рекомендация идёт разработчикам . Включение https в настройке веб-морды решением может и не являться. (вопрос знатокам протоколов!)

vovic ()
Ответ на: комментарий от vsemprivet

> > Про их мега-фейл с xcode 4 даже говорить стесняются.

это про смену шорткатов или платность?


Для разработчиков как было бесплатно, так и осталось. Но проблема в реальной кривизне и постоянном падении на каждый чих. При этом на практически топовом имаке это говно тормозит ужасно.

andreyu ★★★★★ ()

Думаю что обновление появится и для 2.2.

unixnik ★★★★★ ()
Ответ на: комментарий от andreyu

Мне нужно бояться?

Дрожать и потом обливаться.

iZEN ★★★★★ ()
Ответ на: комментарий от anonymous

Теперь вам надо купить новый телефон в котором может быть устранят эту проблему.

Ребята из Маунтин Вью на Google I/O поделились интересным сообщением. Создана коалиция производителей, участники которой обещают длительную поддержку и обновление своих девайсов до самых свежих версий Android.

В нее вошли основные американские операторы и такие всемирно известные производители железа, как HTC, Samsung, Sony Ericsson, LG, Motorola. Это гарантирует нам, что данные компании будут обновлять свои выпущенные коммуникаторы до самых последних версий системы в течение 18 месяцев. Не правда ли вселяет надежду?

Ыть.

iZEN ★★★★★ ()
Ответ на: комментарий от iZEN

так вроде лыжы вообще обещают что будут обновлять прошивку вечно ))) вот жду 2.3 для своего п500

guyvernk ()

Обнаружена уязвимость, при которой приложения для Android посылают...

sad, sad panda

ifred ()
Ответ на: комментарий от iZEN

> > Мне нужно бояться?

Дрожать и потом обливаться.


Вы сознательно допустили ошибку в последнем слове? ;)

andreyu ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.