Корпорація Google оперативно відреагувала на нещодавно опубліковану доповідь німецьких дослідників про наявність серйозних “дірок” в системі безпеки 99% смартфонів на базі операційної системи Android.
Випущена “латочка” виправляє роботу протоколу авторизації ClientLogin і забороняє третім особам отримувати доступ до календаря і списку контактів, коли пристрій використовується в публічній мережі Wi-Fi
Оновлення Android версій 2.3.3 і нижче буде проведено автоматично протягом декількох найближчих днів, ніяких дій від користувачів не потрібно, пише All Things Digital. Ця уразливість вже усунена в останніх версіях Android – пряника (2,3) і стільника (3,0) – проте більшість “гуглофонів” працюють під управлінням більш ранніх версій платформи.
Пролом у системі безпеки Android полягала в тому, що третя сторона могла “перехоплювати” так звані жетони авторизації (authToken), в яких в незашифрованому вигляді зберігаються облікові дані користувачів для доступу до сервісів Google. Такі атаки можуть бути проведені, якщо пристрій використовується в незахищених мережах (наприклад, якщо він підключений через публічний хот спот Wi-Fi).
В якості вирішення цієї проблеми німецькі фахівці запропонували тим програмам, які використовують ClientLogin, негайно перейти на зашифрований HTTP-канал, або зробити вибір на користь більш надійного протоколу OAuth. Вони також порадили зменшити термін зберігання жетонів авторизації і відхиляти запити на небезпечні ClientLogin
