MójDroid.pl

Poważna luka w zabezpieczeniach, czyli jak szybko wykraść hasła...

2011-05-17
|
Damian P.

Przeglądając pewne forum dot. zabezpieczeń, natknąłem się na coś ciekawego. Pewna osoba opublikowała bibliotekę TCPDump, która (w skrócie) pozwalała nam na wykradanie danych z sieci bezprzewodowych bez wiedzy [potencjalnego] poszkodowanego. Nie było by w tym nic szczególnego (bo biblioteka istnieje parę dobrych lat) gdyby nie załączona poniżej analiza ruchu sieciowego Androida... Wyobraźmy sobie taką sytuację: Pewna osoba korzysta np.  z Picassy - serwisu Google, który pozwala na tworzenie ogólnodostępnej galerii zdjęć. Stronkę prawdopodobnie znacie, bo należy do jednego z największych gigantów internetowych. Idąc dalej tym tropem - portal powinien być w pełni bezpieczny, tak aby niemożliwym było wykradanie danych. Podobnie jest z Androidem - produkt Google, więc mało kto ma wątpliwości co do jego bezpieczeństwa. A tu guzik! W pierwszej wersji systemu pojawił się poważny błąd, przez który token i login użytkownika jest wysyłany nieszyfrowanym kanałem. Efekt? Średnio uzdolniony haker może wykraść nasze dane bez żadnego problemu. Łatka ma być już dostępna w Androidzie 2.3.4, ale tak na prawdę... Nie chce mi się w to wierzyć. Sami zobaczcie o co mi chodzi:

Aplikacje podatne na atak to m.in. Google Calendar, Facebook, Twitter i "kilka innych kont." Jak można "się zarazić"? Bardzo łatwo - wystarczy podpiąć się do ogólnodostępnej sieci a później pójdzie już z górki...