טק. בידור. מַדָע. תיבת הדואר הנכנס שלך.
הירשם לחדשות הטכנולוגיה והבידור המעניינות ביותר שיש.
בהרשמה אני מסכים ל תנאי שימוש וסקרו את הודעת פרטיות.
דו"ח שהוגש על ידי פרסום בבריטניה הקופה מפרט חולשה מפחידה ברוב מכשירי האנדרואיד הנמכרים כעת. הפגיעות המוזכרת לעיל תאפשר לתוקפים לאסוף ולהשתמש באסימונים דיגיטליים המאוחסנים במכשיר לאחר שמשתמש מאמת לשירות מוגן בסיסמה. "החולשה נובעת מיישום לא תקין של פרוטוקול אימות המכונה ClientLogin בגרסאות אנדרואיד 2.3.3 ומעלה", נכתב בדו"ח, המצטט מחקר של ה- אוניברסיטת Ulm. "לאחר שמשתמש שולח אישורים תקפים עבור יומן Google, טוויטר, פייסבוק או מספר חשבונות אחרים, ממשק התכנות מאחזר אסימון אימות שנשלח בטקסט ברור. מכיוון שניתן להשתמש ב-authToken למשך עד 14 ימים בכל בקשות עוקבות בשירות, תוקפים יכולים לנצל אותם כדי להשיג גישה לא מורשית לחשבונות." גוגל הוציאה תיקון עבור פרוטוקול ClientLogin עם אנדרואיד 2.3.4 ואנדרואיד 3.0, אבל, כפי ש הקופה מציין, רק 1% ממכשירי אנדרואיד פועלים כעת הקוד המעודכן.
מה שמפחיד הוא כמה קל וללא מאמץ הניצול יכול להיות. "כדי לאסוף AuthTokens כאלה בקנה מידה גדול, יריב יכול להגדיר נקודת גישה ל-WiFi עם SSID נפוץ של רשת אלחוטית לא מוצפנת, למשל, T-Mobile, attwifi, starbucks", דווח חוקרים. "עם הגדרות ברירת המחדל, טלפונים אנדרואיד מתחברים אוטומטית לרשת ידועה בעבר ואפליקציות רבות ינסו לסנכרן באופן מיידי. בזמן שהסנכרון ייכשל (אלא אם היריב יעביר את הבקשות), היריב ילכד AuthTokens עבור כל שירות שניסה לסנכרן."
גוגל טרם פרסמה תגובה רשמית בנושא.
לקרוא