Η Google έβγαλε patch για το κενό ασφαλείας των Android

[NeK]

Η Google ανακοίνωσε ότι ξεκινάει την διάθεση ενός server-side patch για το κενό ασφαλείας που παρουσιάστηκε πρόσφατα στο 99% των Android τηλεφώνων που επέτρεπε σε κακόβουλους μέσω μη-ασφαλών WiFi δικτύων να αποκτήσουν πρόσβαση στα προσωπικά στοιχεία των επαφών και του calendar του χρήστη. Το fix αυτό δεν απαιτεί κάποια ενέργεια από τους χρήστες και θα διανεμηθεί παγκοσμίως τις επόμενες ημέρες.

Η ύπαρξη της αδυναμίας πρωτο-αναφέρθηκε το Φεβρουάριο σε δημοσίευμα ενός blog από τον καθηγητή του Rice University, Dan Wallach, ο οποίος τόνισε πως πολλά apps του Android δεν χρησιμοποιούν κρυπτογράφηση SSL για να προστατέψουν την διαδικτυακή τους κίνηση. Όμως μόλις την περασμένη εβδομάδα Γερμανοί ερευνητές επινόησαν έναν τρόπο, για λόγους επίδειξης, που εκμεταλλεύεται αυτό το κενό ασφαλείας.

Το κενό προέρχεται από μία αδυναμία στο ClientLogin πρωτόκολλο πιστοποίησης της Google, το οποίο έχει σχεδιαστεί για να επιτρέπει στα apps να ανταλλάσουν τους κωδικούς του χρήστη για ένα "token" πιστοποίησης το οποίο ταυτοποιεί τον χρήστη στην εκάστοτε υπηρεσία. Αν το token αυτό περάσει μέσα από ένα μη-κρυπτογραφημένο request, τότε μπορεί να το διαβάσει ένας κακόβουλος hacker και να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στα στοιχεία του calendar, στα στοιχεία των επαφών αλλά και στις αποθηκευμένες φωτογραφίες του Picasa.

Οι τελευταίες εκδόσεις του Android για smartphones (2.3.4) και για tablets (3.0) δεν επηρεάζονται από αυτό το πρόβλημα, αλλά όμως επειδή πάνω από 99% των Android συσκευών χρησιμοποιούν ακόμα τις παλιότερες εκδόσεις η Google φρόντισε να βγάλει fix.

Βασικά, αυτό που κάνει το fix είναι να εξαναγκάζει τις συσκευές να συνδέονται με τις υπηρεσίες του Google μέσω HTTPS, έτσι ώστε τα token πιστοποίησης να μην είναι ευάλωτα σε επιθέσεις όταν μεταφέρονται μέσω μη-κρυπτογραφημένων ασύρματων WiFi δικτύων. Η Google, σύμφωνα με πληροφορίες, ακόμη ερευνά εάν το Picasa είναι και αυτό ευάλωτο ή όχι.

Πηγή: Techspot

[MaFiOzOs_GR]

Άμεση η απάντηση από την Google και άμα πάρουμε και το patch OTA είμαστε κυριλέ!

Βέβαια η πρόληψη είναι καλύτερη από την θεραπεία, αλλά τουλάχιστον αντέδρασαν γρήγορα....

[blade_]

οχι κ πολυ γρηγορα αλλα κατι ειναι κ αυτο...αρκει να μην ειναι placebo το patch..

[Z€r0]

Γρήγορη, απλή και πρακτική λύση.

[xanthosd]

Και πως το παίρνουμε ;

[pan24]

ειναι patch στον server της google.δεν χρειαζεται να κανεις τιποτα.

[tsigarid]

Ενδιαφέρον είναι ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο, αλλά μόλις παρουσιάστηκε τρόπος να χρησιμοποιηθεί, εμφανίστηκε και fix. Γιατί δεν ασχολήθηκαν νωρίτερα; Γιατί αποκλείουν ότι κακόβουλοι χρήστες το εκμεταλλεύτηκαν ήδη, χωρίς να το έχουν ανακοινώσει; Πείτε ότι θέλετε, αλλά θεωρώ ότι η google αντέδρασε πολύ αργά, όχι πολύ γρήγορα!

[hellenicsun]

Ενδιαφέρον είναι ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο, αλλά μόλις παρουσιάστηκε τρόπος να χρησιμοποιηθεί, εμφανίστηκε και fix. Γιατί δεν ασχολήθηκαν νωρίτερα; Γιατί αποκλείουν ότι κακόβουλοι χρήστες το εκμεταλλεύτηκαν ήδη, χωρίς να το έχουν ανακοινώσει; Πείτε ότι θέλετε, αλλά θεωρώ ότι η google αντέδρασε πολύ αργά, όχι πολύ γρήγορα!

Σαφώς και αντέδρασε αργά, όποιος πιστεύει το αντίθετο προφανώς δεν έχει ενημερωθεί ολοκληρωμένα για την ιστορία. Είναι μάλιστα απορίας άξια η τόση καθυστέρηση.

[tsoukase]

Οσοι έχουν custom rom ενημερώνονται πάλι αυτόματα?

[zeppelindsl]

Βασικά, αυτό που κάνει το fix είναι να εξαναγκάζει τις συσκευές να συνδέονται με τις υπηρεσίες του Google μέσω HTTPS, έτσι ώστε τα token πιστοποίησης να μην είναι ευάλωτα σε επιθέσεις όταν μεταφέρονται μέσω μη-κρυπτογραφημένων ασύρματων WiFi δικτύων.

Τόσο απλό, απορώ γιατί δεν λειτουργούσε έτσι από την αρχή.

Οσοι έχουν custom rom ενημερώνονται πάλι αυτόματα?

Το λέει ξεκάθαρα η είδηση.

[MaFiOzOs_GR]

Ενδιαφέρον είναι ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο, αλλά μόλις παρουσιάστηκε τρόπος να χρησιμοποιηθεί, εμφανίστηκε και fix. Γιατί δεν ασχολήθηκαν νωρίτερα; Γιατί αποκλείουν ότι κακόβουλοι χρήστες το εκμεταλλεύτηκαν ήδη, χωρίς να το έχουν ανακοινώσει; Πείτε ότι θέλετε, αλλά θεωρώ ότι η google αντέδρασε πολύ αργά, όχι πολύ γρήγορα!

Σαφώς και αντέδρασε αργά, όποιος πιστεύει το αντίθετο προφανώς δεν έχει ενημερωθεί ολοκληρωμένα για την ιστορία. Είναι μάλιστα απορίας άξια η τόση καθυστέρηση.

Όντως και γω όπως και ο περισσότερος κόσμος φαντάζομαι, καταλάβαμε ότι τώρα έγινε γνωστό και άρα το fix ήταν θέμα ημερών! Κανένα ξένο site δεν ανέφερε ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο....

[senkradvii]

Aμεσότατη αντίδραση από την Google!

Mπράβο..

[hellenicsun]

Όντως και γω όπως και ο περισσότερος κόσμος φαντάζομαι, καταλάβαμε ότι τώρα έγινε γνωστό και άρα το fix ήταν θέμα ημερών! Κανένα ξένο site δεν ανέφερε ότι το πρόβλημα είναι γνωστό από τον Φεβρουάριο....

Δες εδώ ως μια από πολλές πηγές:
http://www.theregister.co.uk/2011/05...ation_attacks/

The findings build off previous findings of Rice University professor Dan Wallach, who in February uncovered similar Android privacy shortcomings affecting Twitter, Facebook, and Google Calendar during a simple exercise for his undergraduate security class.

..που αναφέρεται στην έρευνα της οποίας ο ερευνητής γράφει εδώ:
http://www.freedom-to-tinker.com/blo...oid-smartphone

[euri]

Aμεσότατη αντίδραση από την Google!

Mπράβο..

Ναι, όντως άμεση...

...αφού βγήκε στο φανερό, παρότι το ήξερε...

[MaFiOzOs_GR]

Δες εδώ ως μια από πολλές πηγές:
http://www.theregister.co.uk/2011/05...ation_attacks/


..που αναφέρεται στην έρευνα της οποίας ο ερευνητής γράφει εδώ:
http://www.freedom-to-tinker.com/blo...oid-smartphone

Ευχαριστώ για τα links hellenicsun!

Καλό είναι να βλέπουμε την ιστορία ως έχει και όχι όπως μας την παρουσιάζουνε!