ViennaOS.net

Пользователь

Забыли пароль?

Реклама

Популярное на сайте

Последнее на форуме

» » 99% Android-устройств уязвимы
+9

99% Android-устройств уязвимы

Автор: javalava » 21 мая 2011 » Новости и статьи
99% Android-устройств уязвимы

Если вы пользуетесь смартфоном на базе операционной системы Android, то эта информация именно для вас. Так ли безопасна операционная система от Google, как о ней судачат? Об этом расскажут данные, собранные в ходе исследования немецкого университета города Ульма.

Что же такого удалось отыскать немцам? Как оказалось, 99% всех смартфонов, работающих под управлением операционной системы Google Android, имеют уязвимость, суть которой заключается в опасности подключения к незащищенной сети или заходе на веб-сайт.

Что такое «клиент – логин»? Это протокол аутентификации, предназначающийся для аутентификации приложений на устройстве. Как оказывается в мобильной операционной системе Google Android, начиная от версии 2.3.3 этот протокол уязвим. Программа посылает запрос на соответствующий (выбранный заранее) сервис Google, а затем передает пароль и логин через https-соединение. Когда пользователь заходит на сайты наподобие Facebook, Twitter, или Google Calendar, эта информация может храниться на них до двух недель. Злоумышленнику ничего не будет стоить просто извлечь необходимую информацию и воспользоваться ею в своих корыстных целях.

На проведение исследований немецкий университет вдохновила работа Дана Валлаха из ПЦИТ (Принстаунский Центр Информационных Технологий). В своей работе автор рассказал о рисках использования Android-смартфонов в общественных Wi-Fi сетях. «Наш университет поставил перед собою цель, выяснить, осуществима ли атака на сервисы Google. Ответ: да, причем все гораздо проще, чем может показаться. В принципе, предположительно атака возможна на все сервисы Google, использующие протокол аутентификации логин – пароль.

Пока что корпорация Google никак не хочет комментировать представленную информацию. В любом случае, это не первое сообщение, рассказывающие об уязвимости мобильной операционной системы Android. Немногим ранее говорилось, что количество вредоносных программ для платформы Google возросло почти в 4 раза с июня прошлого года по январь текущего.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Комментарии

Посетитель
SERGEO89 -331 оставил комментарий 21 мая 2011 01:22
-6
Бред... А тупые слова не одного термина, базу гугл взламывали, что ли немцы, а вам это по зубам, вас же при первой попытке забанят по ip-адресу!
Посетитель
javalava +3882 оставил комментарий 21 мая 2011 01:31
0
SERGEO89,
Я понял, что вроде какая-то уязвимость появляется при передаче логина и пароля. Ею и пользуются, воруют тот же логин и пароль.
Гость
denisey 0 оставил комментарий 21 мая 2011 01:35
0
поживем увидим.;
Посетитель
Ramiljan +1310 оставил комментарий 21 мая 2011 09:27
+1
Говорят уже пофиксили, или пользуйтесь https протоколом.
Посетитель
javalava +3882 оставил комментарий 21 мая 2011 11:13
0
Ramiljan,
Программа посылает запрос на соответствующий (выбранный заранее) сервис Google, а затем передает пароль и логин через https-соединение.
Посетитель
Skotti 0 оставил комментарий 21 мая 2011 12:00
0
Уязвимость сейчаст имеют все устройства, включая телефоны, навигаторы, компьютеры и т.д. Что же делать, не пользоваться этим...
Посетитель
KingNothing 0 оставил комментарий 21 мая 2011 12:14
0
javalava, уязвимость как раз не позволяет получить пароль, только токен - потому что он передается в незашифрованном виде. И уязвимости этой подвержен не только протокол аутентификации андроида. Большинство сервисов(в т.ч. и этот сайт) не удосуживаются и пароль пропускать через https, так что аккаунт на этих сервисах уязвим для атак man-in-the-middle на любом устройстве с любой ОС.
Посетитель
Lust of Decay +41 оставил комментарий 21 мая 2011 23:30
0
Когда пользователь заходит на сайты наподобие Facebook, Twitter, или Google Calendar, эта информация может храниться на них до двух недель. Злоумышленнику ничего не будет стоить просто извлечь необходимую информацию и воспользоваться ею в своих корыстных целях.

Ерунда какая-то. Ну и извлеките кукисы у меня с машины, если это "ничего не будет стоить". Про https ничего не понял. Там что, уязвимость нашли какую-то?
Посетитель
kucheriavij 0 оставил комментарий 22 мая 2011 14:18
0
строго пофигу, этими сервисами не пользуюсь, да и версия дроида у меня не та)
Информация
Посетители, находящиеся в группе Гость, не могут оставлять комментарии к данной публикации.