Bookmark and Share

Команда немецких исследователей из Университета Ульма (University of Ulm) обнаружила, что более 99% Android-смартфонов уязвимы из-за плохой проверки подлинности протоколов ClientLogin. На простом человеческом языке это означает, что каждый раз, когда владелец такого устройства заходит в свою учетную запись Twitter, Google, Facebook и других интернет-сервисов, использующих этот протокол, информация об авторизации некоторое время хранится на гаджете и с помощью определенных манипуляций может быть украдена.

Чем это все грозит пользователям? Например, абсолютно случайный человек, подключенный вместе с вами к одной и той же незащищенной беспроводной сети в торговом центре или кафе, может получить доступ к этим данным и с успехом авторизоваться в упомянутых сервисах от вашего лица, повторяя это столько раз, сколько ему вздумается или пока не надоест.

Как правило, такого рода уязвимости периодически «всплывают» на каждой мобильной платформе. И в случае c iOS, Apple может оперативно закрыть эту дырку в безопасности, выпустив обновленную версию прошивки, которую большинство пользователей уже через неделю-полторы установит.

А вот с Android и её легендарной фрагментацией далеко не все так просто. Зачастую, даже после выхода очередной «Сырной ватрушки» (или как там разработчикам взбредет в голову назвать новый релиз своей мобильной операционной системы) обновлением уже выпущенных смартфонов приходится заниматься производителям этих самых смартфонов, но не Goolge.

Конечно, не так давно разработчики уже выпускали Android версии 2.3.4, в которой частично справились с проблемой — для синхронизации, скажем, календарей и контактов применили защищенное соединение HTTPS вместо стандартного HTTP. Но при этом синхронизация галереи с фото-сервисом Picasa до сих пор осталась незащищенной.

А если учесть, что брешь в системе безопасности присутствует во всех релизах Android версий 2.3.3 и ниже, проблема актуальна почти для всех мобильных гаджетов, работающих под управлением зеленого робота. Точнее, для 99,7% смартфонов (по собственной статистике компании Google на май 2011).

Можно говорить что угодно, но факт остается фактом: фрагментация — это одна из крупнейших проблем Android и владелец такого мобильного гаджета способен пострадать от обнаруженных уязвимостей значительно сильнее, чем от ошибок использующегося в iOS кэша сотовых вышек или беспроводных точек доступа, которые так горячо обсуждались в течение прошлых нескольких недель и были успешно исправлены в iOS 4.3.3.

Тем более, мы помним, что во время слушаний Apple и Google в американском сенате по поводу персональных данных представитель поискового гиганта отметил, разработчикам для Android ничего не стоит написать приложение, поощряющее незаконную деятельность, но Google за это никакой ответственности не несет и предлагает потребителям самим задумываться над такими сущими пустяками, как сохранность своих приватных данные.


Читайте также: