Независимые эксперты говорят, что более 99% смартфонов на базе Android потенциально подвержены утечке данных в случае кражи аппарата, так как хранят львиную долю персональных данных пользователей в онлайне и автоматически получают к ней доступ. Данные могут утечь, например, в случае входа злоумышленников на сервис Google Calendar под учетной записью пользователя.
Немецкие ИТ-специалисты из Университета города Ульм говорят, что заинтересовались особенностями работы Android с идентификационными данными. По их словам, многие данные, связанные с авторизацией пользователей, Android-устройства передают автоматически. Это в обычных условиях удобно для пользователей, но в случае кражи аппарата это преимущество превращается в серьезную уязвимость.
Официально Google пока никак не прокомментировала данные об "уязвимости 99% Android-устройств".
Флориан Шауб, один из авторов отчета, говорит, что их группа детально исследовала процессы управления данными, передаваемыми на удаленные сервисы. По его словам, многие приложения без уведомления пользователей отдают удаленным сервисам Google аутентификационные ключи, так называемые Digital ID Card для конкретного приложения. После того, как токен отдан, пользователи (или злоумышленник) могут работать с сервисом и всем данными в нем без какой-либо авторизации.
Авторы отчета говорят, что этот баг не только опасен сам по себе, он, в случае реализации, значительно затруднит поиск источников утечки информации. Более того, злоумышленники технически способны использовать токены и без кражи аппарата. Получив тем или иным способом токен, они могут использовать его на любом другом устройстве и получить доступ к пользовательским сведениям в онлайне.
В отчете говорится, что такой метод работает для календарных данных, контактов, приватных веб-альбомов и прочих данных.
Немецкие специалисты признают, что найденная ими особенность Android не является багом в классической трактовке этого термина. Скорее, она является логической ошибкой сервисов, эксплуатируя которую возможно провести взлом. Сами авторы признают, что они не знают как можно исправить сложившуюся ситуацию.
Единственным более или менее приемлемым решением тут может стать шифрованная передача токенов, которая была реализована в Android 2.3.4. Полностью проблему это не снимает, но по крайней мере снимает угрозу перехвата данных для авторизации.
Источник: CyberSecurity
|
