В системе безопасности мобильной ОС Google Android была найдена очередная уязвимость, из-за которой злоумышленники могут легко получить доступ к некоторым личным данным пользователя и учетным записям в онлайновых сервисах, где он зарегистрирован. К счастью, эту уязвимость нашли не злоумышленники, а ученые из Ульмского университета, сообщает The Register. Они заинтересовались исследованиями системы безопасности Android, проведенными профессором из Университета Райса (Rice University) Дэном Уоллахом (Dan Wallach), и, взяв их за основу, смогли без особых сложностей получить несанкционированный доступ к важным данным пользователя.
Проблема оказалась в применяемых Google методах использования протокола авторизации ClientLogin. После того, как пользователь вводит данные для входа в защищенный паролем сервис, будь то «Календарь» или «Контакты» Google, Facebook, Twitter и т. д., создается цифровой ключ (authToken), который может использоваться в течение двух недель и в сервис он передается в виде простого текстового файла. Судя по исследованиям сотрудников Ульмского университета, этот ключ легко перехватывается в незащищенных сетях, например, в общественных точках доступа Wi-Fi. Используя его, злоумышленник получит доступ к учетной записи пользователя и его личным данным. Для сбора authToken могут использоваться «липовые» точки доступа Wi-Fi с популярными обозначениями SSID («Укртелеком», «Макдональдс» и т. д.), к которым Android-устройства будут подключаться автоматически. Как только устанавливается соединение, начинают рассылаться authToken для автоматического подключения к используемым человеком сервисам, будь то Gmail, Facebook и т. д., и они перехватываются злоумышленниками.
Решение проблемы есть и оно не особо сложное в теории, но на практике все намного хуже. Google закрыла найденную уязвимость в Android 2.3.4, но эта версия ОС на данный момент доступна только для Nexus S и Nexus One, а остальные 99,9% гаджетов под управлением Android 2.3.3 и более ранних версий остались беззащитны. Еще один вариант — переход Google на использование защищенных каналов https вместо http или же отказ от протокола ClientLogin в пользу oAuth.
Этот случай в очередной раз указывает на две злободневные проблемы Google: не самую надежную систему безопасности Android и слабо налаженные контакты с производителями конечных устройств. В первом случае компанию сложно упрекнуть, так как любая созданная человеком система безопасности им же может быть и взломана. В итоге приходится просто закрывать найденные уязвимости, но в случае с Android не все так просто. Google быстро выпускает обновления ОС для своих смартфонов, но это ПО очень медленно адаптируется для устройств от других производителей, включая крупнейших игроков рынка вроде HTC, Samsung или Motorola. Уже несколько месяцев известно о разного рода уязвимостях в Android 2.2, но очень много устройств до сих пор используют эту ОС и более ранние сборки тоже.