Google в срочном порядке устраняет "дыру" в безопасности Android


TechSpot

Корпорация Google оперативно отреагировала на недавний доклад немецких ученых о наличии серьезных "дыр" в системе безопасности 99% смартфонов на базе операционной системы Android.

Компания уже создала "заплату" - специальный серверный патч, направленный конкретно на устранение данной уязвимости. Исправление будет рассылаться на устройства по всему миру в автоматическом режиме и не потребует никаких действий для его установки или обновления ПО со стороны пользователя.

Выпущенная "заплатка" исправляет работу протокола авторизации ClientLogin и запрещает третьим лицам получать доступ к календарю и списку контактов, когда устройство используется в публичной сети Wi-Fi, сообщают Вести.Ru со ссылкой на All Things Digital.

Эта уязвимость уже устранена в последних версиях Android - Gingerbread (2.3) и Honeycomb (3.0), - однако большинство "гуглофонов" работают под управлением более ранних версий платформы.

Брешь в системе безопасности Android заключалась в том, что третья сторона могла перехватывать так называемые "жетоны авторизации" (authToken), в которых в незашифрованном виде хранятся учетные данные пользователей для доступа к сервисам Google.

Такие атаки могут быть проведены, если устройство используется в незащищенных сетях (к примеру, если оно подключено через публичный хот-спот Wi-Fi).

Между тем, отмечают некоторые эксперты, выпускаемое исправление исправление залатывает только уязвимость при работе с Google Calendar и Contacts, а проблему с Picasa Web Albums компания все еще исследует и пока ничего не сообщала о перспективах ее устранения.

В качестве решения проблемы немецкие специалисты предложили тем приложениям, которые используют ClientLogin, немедленно перейти на зашифрованный http-канал, либо сделать выбор в пользу более надежного протокола oAuth. Они также посоветовали уменьшить срок хранения жетонов авторизации и отклонять запросы ClientLogin на небезопасные соединения по протоколу http.

facebook
LJ