Το 99,7% των τηλεφώνων με Android θέτει σε κίνδυνο ευαίσθητα δεδομένα

PDFΕκτύπωσηE-mail

Συντάχθηκε από: Άγγελος Κυρίτσης Τρίτη, 17 Μαΐου 2011 22:23

Το 99,7% των τηλεφώνων με Android θέτει σε κίνδυνο ευαίσθητα δεδομένα Κλικ για να δείτε το πλήρες μέγεθος της εικόνας
Τα smartphones είναι πλέον ολόκληροι υπολογιστές, αποθηκεύοντας πολύ περισσότερα δεδομένα από απλά ονόματα και τηλέφωνα. Όμως ένα κενό ασφαλείας στο σύνολο σχεδόν των Android κινητών θέτει σε κίνδυνο τα προσωπικά μας δεδομένα...
Οι γερμανοί ερευνητές Bastian Könings, Jens Nickels, και Florian Schaub, του πανεπιστημίου του Ulm, εντόπισαν αυτό το κενό ασφαλείας.

Το πρόβλημα έγκειται στον τρόπο με τον οποίο οι εφαρμογές οι οποίες συναλλάσονται με τις Google services απαιτούν authentication tokens. Αυτά τα tokens είναι χρήσιμα καθώς δεν χρειάζεται ο χρήστης να κάνει login στην υπηρεσία. Αυτό όμως που ανακάλυψαν οι ερευνητές είναι πως αυτά τα tokens καμιά φορά μεταδίδονται ακρυπρογράφητα (σε μορφή plaintext) μέσω ασύρματων δικτύων. Αυτό σημαίνει πως ο οποιοσδήποτε λαμβάνει το σήμα του δικτύου Wi-Fi θα μπορούσε να αποκτήσει αυτά τα tokens.

Το χειρότερο είναι πως τα tokens δεν είναι συγκεκριμένα για ένα μοντέλο κινητού, αντίθετα τα tokens από μία συσκευή μπορούν να χρησιμοποιηθούν σε μια άλλη.

Οι επιπτώσεις αυτού του κενού ασφαλείας κυμαίνονται από απλή αποκάλυψη μέχρι απώλεια δεδομένων από το Calendar, ενώ επίσης επηρεάζονται δεδομένα που αφορούν τις επαφές, όπως τα τηλέφωνα, οι διευθύνσεις ή τα e-mail.

Επιπλέον, τα tokens αυτά ισχύουν για μεγάλο χρονικό διάστημα (14 ημέρες για τα Calendar tokens) πράγμα που σημαίνει πως όποιος έχει πρόσβαση στο Token έχει και πρόσβαση δύο εβδομάδων στα προσωπκά δεδομένα.

Η υποκλοπή των token είναι ιδιαίτεα εύκολη. Το μόνο που χρειάζεται να κάνει ο επιτιθέμενος είναι να δημιουργήσει ένα ξεκλείδωτο wi-fi access point με ένα όνομα (SSID) που συναντάται συχνά - π.χ. starbucks connx κλπ. Με τις default ρυθμίσεις, τα τηλέφωνα με Android συνδέονται αυτόματα με ήδη γνωστά δίκτυα, και αρχίζουν να συγχρονίζουν τα δεδομένα. Ενώ ο συγχρονισμός θα αποτύχει (δεν είναι ανάγκη το access point να έχει πρόσβαση στο internet), ο επιτιθέμενος μπορεί να αντιγράψει authTokens για κάθε υπηρεσία που επιχειρεί τον συγχρονισμό.

Τι μπορούν να κάνουν οι κάτοχοι Android? Τα εξής:

1) Να αναβαθμίσουν τη συσκευή τους σε ένα Android που να παρέχει HTTPS για το συγχρονισμό του Google Calender και των Contacts. Το κακό σε αυτή την περίπτωση είναι πω ο πάροχος μπορεί να κάνει εβδομάδες ή μήνες να κυκλοφορήσει μια αναβάθμιση για το Android, ή μπορεί και ποτέ.

2) Να απενεργοποιήσουν τον αυτόματο συγχρονισμό στις εφαρμογές που επηρεάζονται σε ανοιχτά δίκτυα Wi-fi

3) Να αποφεύγουν να χρησιμοποιούν τις εφαρμογές σε ανοιχτές συνδέσεις Wi-Fi.

Διαφήμιση

Mπες τώρα στο Getitnow.gr και βρες τα περισσότερα laptop & notebook από 259€!

Share
Άγγελος Κυρίτσης
Written on Τρίτη, 17 Μαΐου 2011 22:23 by Άγγελος Κυρίτσης

Viewed 638 times so far.
Like this? Tweet it to your followers!
Δημοσιευμένο στα Subscribe to the RSS feed of Τεχνολογικά νέα  Τεχνολογικά νέα / Subscribe to the RSS feed of Mobile Phones  Mobile Phones

Προτεινόμενα θέματα

Game Review: Grepolis: Το browser strategy game με γεύση από Ελλάδα!

Game Review: Grepolis: Το browser strategy game με γεύση από Ελλάδα!

Πώς να επιλέξετε τον ιδανικό εκτυπωτή

Πώς να επιλέξετε τον ιδανικό εκτυπωτή

Ninite.com: Εγκαταστήστε όλα σας τα προγράμματα εντελώς αυτόματα!

Ninite.com: Εγκαταστήστε όλα σας τα προγράμματα εντελώς αυτόματα!

blog comments powered by Disqus
back to top

Συνδεση Μελων

Τελευταια Σχολια

Τελευταιες Συζητησεις

τελευταια βοηθηματα

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10