Η Google ανακοίνωσε ότι ξεκινάει την διάθεση ενός server-side patch για το κενό ασφαλείας που παρουσιάστηκε πρόσφατα στο 99% των Android τηλεφώνων (http://www.adslgr.com/forum/showthread.php?t=508393) που επέτρεπε σε κακόβουλους μέσω μη-ασφαλών WiFi δικτύων να αποκτήσουν πρόσβαση στα προσωπικά στοιχεία των επαφών και του calendar του χρήστη. Το fix αυτό δεν απαιτεί κάποια ενέργεια από τους χρήστες και θα διανεμηθεί παγκοσμίως τις επόμενες ημέρες.

Η ύπαρξη της αδυναμίας πρωτο-αναφέρθηκε το Φεβρουάριο σε δημοσίευμα ενός blog από τον καθηγητή του Rice University, Dan Wallach, ο οποίος τόνισε πως πολλά apps του Android δεν χρησιμοποιούν κρυπτογράφηση SSL για να προστατέψουν την διαδικτυακή τους κίνηση. Όμως μόλις την περασμένη εβδομάδα Γερμανοί ερευνητές επινόησαν έναν τρόπο, για λόγους επίδειξης, που εκμεταλλεύεται αυτό το κενό ασφαλείας.

Το κενό προέρχεται από μία αδυναμία στο ClientLogin πρωτόκολλο πιστοποίησης της Google, το οποίο έχει σχεδιαστεί για να επιτρέπει στα apps να ανταλλάσουν τους κωδικούς του χρήστη για ένα "token" πιστοποίησης το οποίο ταυτοποιεί τον χρήστη στην εκάστοτε υπηρεσία. Αν το token αυτό περάσει μέσα από ένα μη-κρυπτογραφημένο request, τότε μπορεί να το διαβάσει ένας κακόβουλος hacker και να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στα στοιχεία του calendar, στα στοιχεία των επαφών αλλά και στις αποθηκευμένες φωτογραφίες του Picasa.

Οι τελευταίες εκδόσεις του Android για smartphones (2.3.4) και για tablets (3.0) δεν επηρεάζονται από αυτό το πρόβλημα, αλλά όμως επειδή πάνω από 99% των Android συσκευών χρησιμοποιούν ακόμα τις παλιότερες εκδόσεις η Google φρόντισε να βγάλει fix.

Βασικά, αυτό που κάνει το fix είναι να εξαναγκάζει τις συσκευές να συνδέονται με τις υπηρεσίες του Google μέσω HTTPS, έτσι ώστε τα token πιστοποίησης να μην είναι ευάλωτα σε επιθέσεις όταν μεταφέρονται μέσω μη-κρυπτογραφημένων ασύρματων WiFi δικτύων. Η Google, σύμφωνα με πληροφορίες, ακόμη ερευνά εάν το Picasa είναι και αυτό ευάλωτο ή όχι.

Πηγή: Techspot (http://www.techspot.com/news/43869-google-issues-patch-to-fix-androids-clientlogin-data-leaks.html)

Άμεση η απάντηση από την Google και άμα πάρουμε και το patch OTA είμαστε κυριλέ! :oneup:

Βέβαια η πρόληψη είναι καλύτερη από την θεραπεία, αλλά τουλάχιστον αντέδρασαν γρήγορα....

οχι κ πολυ γρηγορα αλλα κατι ειναι κ αυτο...αρκει να μην ειναι placebo το patch..

Γρήγορη, απλή και πρακτική λύση.:oneup:

Και πως το παίρνουμε ;

ειναι patch στον server της google.δεν χρειαζεται να κανεις τιποτα.

Ενδιαφέρον είναι ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο, αλλά μόλις παρουσιάστηκε τρόπος να χρησιμοποιηθεί, εμφανίστηκε και fix. Γιατί δεν ασχολήθηκαν νωρίτερα; Γιατί αποκλείουν ότι κακόβουλοι χρήστες το εκμεταλλεύτηκαν ήδη, χωρίς να το έχουν ανακοινώσει; Πείτε ότι θέλετε, αλλά θεωρώ ότι η google αντέδρασε πολύ αργά, όχι πολύ γρήγορα!

Ενδιαφέρον είναι ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο, αλλά μόλις παρουσιάστηκε τρόπος να χρησιμοποιηθεί, εμφανίστηκε και fix. Γιατί δεν ασχολήθηκαν νωρίτερα; Γιατί αποκλείουν ότι κακόβουλοι χρήστες το εκμεταλλεύτηκαν ήδη, χωρίς να το έχουν ανακοινώσει; Πείτε ότι θέλετε, αλλά θεωρώ ότι η google αντέδρασε πολύ αργά, όχι πολύ γρήγορα!

Σαφώς και αντέδρασε αργά, όποιος πιστεύει το αντίθετο προφανώς δεν έχει ενημερωθεί ολοκληρωμένα για την ιστορία. Είναι μάλιστα απορίας άξια η τόση καθυστέρηση.

Οσοι έχουν custom rom ενημερώνονται πάλι αυτόματα?

Βασικά, αυτό που κάνει το fix είναι να εξαναγκάζει τις συσκευές να συνδέονται με τις υπηρεσίες του Google μέσω HTTPS, έτσι ώστε τα token πιστοποίησης να μην είναι ευάλωτα σε επιθέσεις όταν μεταφέρονται μέσω μη-κρυπτογραφημένων ασύρματων WiFi δικτύων.

Τόσο απλό, απορώ γιατί δεν λειτουργούσε έτσι από την αρχή.


Οσοι έχουν custom rom ενημερώνονται πάλι αυτόματα?

Το λέει ξεκάθαρα η είδηση.

Ενδιαφέρον είναι ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο, αλλά μόλις παρουσιάστηκε τρόπος να χρησιμοποιηθεί, εμφανίστηκε και fix. Γιατί δεν ασχολήθηκαν νωρίτερα; Γιατί αποκλείουν ότι κακόβουλοι χρήστες το εκμεταλλεύτηκαν ήδη, χωρίς να το έχουν ανακοινώσει; Πείτε ότι θέλετε, αλλά θεωρώ ότι η google αντέδρασε πολύ αργά, όχι πολύ γρήγορα!


Σαφώς και αντέδρασε αργά, όποιος πιστεύει το αντίθετο προφανώς δεν έχει ενημερωθεί ολοκληρωμένα για την ιστορία. Είναι μάλιστα απορίας άξια η τόση καθυστέρηση.

Όντως και γω όπως και ο περισσότερος κόσμος φαντάζομαι, καταλάβαμε ότι τώρα έγινε γνωστό και άρα το fix ήταν θέμα ημερών! Κανένα ξένο site δεν ανέφερε ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο.... :hmm:

Aμεσότατη αντίδραση από την Google!

Mπράβο.. :blink:

Όντως και γω όπως και ο περισσότερος κόσμος φαντάζομαι, καταλάβαμε ότι τώρα έγινε γνωστό και άρα το fix ήταν θέμα ημερών! Κανένα ξένο site δεν ανέφερε ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο.... :hmm:


Δες εδώ ως μια από πολλές πηγές:
http://www.theregister.co.uk/2011/05/16/android_impersonation_attacks/


The findings build off previous findings of Rice University professor Dan Wallach, who in February uncovered similar Android privacy shortcomings affecting Twitter, Facebook, and Google Calendar during a simple exercise for his undergraduate security class.

..που αναφέρεται στην έρευνα της οποίας ο ερευνητής γράφει εδώ:
http://www.freedom-to-tinker.com/blog/dwallach/things-overheard-wifi-my-android-smartphone

Aμεσότατη αντίδραση από την Google!

Mπράβο.. :blink:

Ναι, όντως άμεση...

...αφού βγήκε στο φανερό, παρότι το ήξερε...

Δες εδώ ως μια από πολλές πηγές:
http://www.theregister.co.uk/2011/05/16/android_impersonation_attacks/


..που αναφέρεται στην έρευνα της οποίας ο ερευνητής γράφει εδώ:
http://www.freedom-to-tinker.com/blog/dwallach/things-overheard-wifi-my-android-smartphone

Ευχαριστώ για τα links hellenicsun! :oneup:

Καλό είναι να βλέπουμε την ιστορία ως έχει και όχι όπως μας την παρουσιάζουνε! ;)

Ευχαριστώ για τα links hellenicsun! :oneup:

Καλό είναι να βλέπουμε την ιστορία ως έχει και όχι όπως μας την παρουσιάζουνε! ;)

Τίποτα φίλε :)

Εμένα πάντως μου φαίνεται "αφύσικη" τόση καθυστέρηση. Δηλαδή, ήταν δύσκολο για μια εταιρία σαν τη Google να διορθώσει το συντομότερο ένα τέτοιο πρόβλημα; Εκτός κι αν η παραδοχή και άμεση επιδιόρθωση του προβλήματος έριχνε τη μετοχή στο χρηματιστήριο κι έκαναν τη "πάπια" :rolleyes:

Αν θέλει η Google να αποκτήσει την εμπιστοσύνη του κοινού, νομίζω ότι θα πρέπει να κλείνει τα κενά ασφαλείας σε λιγότερο χρόνο από τους 3 μήνες.

Ναι, όντως άμεση...

...αφού βγήκε στο φανερό, παρότι το ήξερε...

Σωστό. Τώρα το διάβασα.. :confused:

Προφανώς και είναι δύσκολο να ενεργοποιήσεις κρυπτογράφηση over HTTP για τόσα εκατομμύρια κόσμο και αυτός είναι και ο λόγος που δεν το κάνει και το facebook από default, γιατί δημιουργεί επιπλέον traffic και αυτό αυτόματα σημαίνει ότι θα χρειαστούν σύντομα μεγαλύτερα κυκλώματα σε χωρητικότητα αν δεν κάνανε αναβάθμιση σε αυτό το χρονικό διάστημα των 3 μηνών. Δεν είναι όλα πατάω ένα κουμπάκι στο λογισμικό και τέλος.. υπάρχει και hardware και λεφτά που πέφτουν για να υποστηριχτούν όλα αυτά...

Είναι χαζό που δεν το έκαναν απο την αρχή, αλλά τουλάχιστον είναι server side και δεν θα χρειαστεί να ασχοληθούν οι χρήστες. Άλλωστε οι περισσότεροι ούτε καν έμαθαν γι αυτό το κενό.

Πω πω πρέπει να δυσκολεύτηκαν πολύ εκεί στη Google για να κάνουν force https.
Γουάου...

Με 100.000.000 client συσκευές οι οποίες αυξάνονται κάθε μέρα κατά 400.000 και περισσότερους (σύμφωνα με διάφορες φήμες) από 500.000 servers, όχι δεν είναι το πιο απλό πράγμα...

Ερώτηση κρίσεως τώρα.. Πως κάνεις update firmware απο 2.2.1 σε 2.3.4 ? :hmm:

Ερώτηση κρίσεως τώρα.. Πως κάνεις update firmware απο 2.2.1 σε 2.3.4 ? :hmm:

Αν έχεις κάποιο Nexus, θα σου έρθει αυτόματα ΟverΤheΑir.

Αν έχεις κάποια άλλη συσκευή θα πρέπει να περιμένεις τον κατασκευαστή αν θα το κάνει διαθέσιμο, είτε μέσω ΟΤΑ, είτε με κάποιον άλλον τρόπο.

Επίσης μπορείς να περάσεις και κάποια custom rom που βασίζεται στην 2.3.4...