20 Μαϊου 2011
Posted in
Επικαιρότητα
Η Google ανακοίνωσε ότι ξεκινάει την διάθεση ενός server-side patch για το κενό ασφαλείας που παρουσιάστηκε πρόσφατα στο 99% των Android τηλεφώνων που επέτρεπε σε κακόβουλους μέσω μη-ασφαλών WiFi δικτύων να αποκτήσουν πρόσβαση στα προσωπικά στοιχεία των επαφών και του calendar του χρήστη. Αυτή η επιδιόρθωση λογισμικού δεν απαιτεί κάποια ενέργεια από τους χρήστες και θα διανεμηθεί παγκοσμίως τις επόμενες ημέρες.
Η ύπαρξη της αδυναμίας πρωτο-αναφέρθηκε το Φεβρουάριο σε δημοσίευμα ενός blog από τον καθηγητή του Rice University, Dan Wallach, ο οποίος τόνισε πως πολλά apps του Android δεν χρησιμοποιούν κρυπτογράφηση SSL για να προστατέψουν την διαδικτυακή τους κίνηση. Όμως μόλις την περασμένη εβδομάδα Γερμανοί ερευνητές επινόησαν έναν τρόπο, για λόγους επίδειξης, που εκμεταλλεύεται αυτό το κενό ασφαλείας.
Το κενό προέρχεται από μία αδυναμία στο ClientLogin πρωτόκολλο πιστοποίησης της Google, το οποίο έχει σχεδιαστεί για να επιτρέπει στα apps να ανταλλάσουν τους κωδικούς του χρήστη για ένα "token" πιστοποίησης το οποίο ταυτοποιεί τον χρήστη στην εκάστοτε υπηρεσία. Αν το token αυτό περάσει μέσα από ένα μη-κρυπτογραφημένο request, τότε μπορεί να το διαβάσει ένας κακόβουλος hacker και να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στα στοιχεία του calendar, στα στοιχεία των επαφών αλλά και στις αποθηκευμένες φωτογραφίες του Picasa.
Οι τελευταίες εκδόσεις του Android για smartphones (2.3.4) και για tablets (3.0) δεν επηρεάζονται από αυτό το πρόβλημα, αλλά όμως επειδή πάνω από 99% των Android συσκευών χρησιμοποιούν ακόμα τις παλιότερες εκδόσεις η Google φρόντισε να κυκλοφορήσει το συγκεκριμένο patch.
Βασικά, αυτό που κάνει το patch είναι να εξαναγκάζει τις συσκευές να συνδέονται με τις υπηρεσίες του Google μέσω HTTPS, έτσι ώστε τα token πιστοποίησης να μην είναι ευάλωτα σε επιθέσεις όταν μεταφέρονται μέσω μη-κρυπτογραφημένων ασύρματων WiFi δικτύων. Η Google, σύμφωνα με πληροφορίες, ακόμη ερευνά εάν το Picasa είναι και αυτό ευάλωτο ή όχι.
Πηγές: adslgr.com / techspot.com
τελευταία άρθρα
- Ασφάλεια των δεδομένων μας: Μια εξαρχής χαμένη υπόθεση...
- Πώς η Tesla επαναστατικοποίησε την ηλεκτροκίνηση
- Terramaster F4-423: Το NAS που θέλει να τα κάνει όλα (και να συμφέρει)
- Synology DS923+
- Συγκριτικό δωρεάν NAS προγραμμάτων 2023
- Windows 11
- Apple M1: Επανάσταση στους επεξεργαστές ή κόλπο του (Apple) marketing;
- USB 4.0 - Το next big thing της πληροφορικής
- Εξηγώντας το SMR σκάνδαλο των κατασκευαστών σκληρών δίσκων
- Συγκριτικό προγραμμάτων NAS, έτος 2020
δημοφιλή άρθρα / νέα
- Οι ελληνικές εφημερίδες στο διαδίκτυο
- Ducky 1008 Black ALPS: Ένα φθηνό gaming keyboard
- Σπάζοντας το WPA/WPA2 ασύρματο δίκτυο σε λίγες ώρες
- Chat Roulette: Νέα μόδα online chat
- Συγκριτικό WinZip vs. WinRar vs. 7-Zip: Ποιο είναι το καλύτερο συμπιεστικό σήμερα;
- Πώς να κάνετε τον υπολογιστή σας γρηγορότερο σε 5'
- ΟΣΕ: Κράτηση εισιτηρίων μέσω διαδικτύου
- Digea: Γιατί η ψηφιακή τηλεόραση δεν έχει την ποιότητα εικόνας που θα θέλαμε;
- Ποια κάρτα γραφικών να αγοράσω;
- Φτηνά laptop: Compaq Presario CQ61 - 410SV
