Το πρόβλημα έγκειται στον τρόπο με τον οποίο οι εφαρμογές οι οποίες συναλλάσονται με τις Google services απαιτούν authentication tokens. Αυτά τα tokens είναι χρήσιμα καθώς δεν χρειάζεται ο χρήστης να κάνει login στην υπηρεσία. Αυτό όμως που ανακάλυψαν οι ερευνητές είναι πως αυτά τα tokens καμιά φορά μεταδίδονται ακρυπρογράφητα (σε μορφή plaintext) μέσω ασύρματων δικτύων. Αυτό σημαίνει πως ο οποιοσδήποτε λαμβάνει το σήμα του δικτύου Wi-Fi θα μπορούσε να αποκτήσει αυτά τα tokens.
Το χειρότερο είναι πως τα tokens δεν είναι συγκεκριμένα για ένα μοντέλο κινητού, αντίθετα τα tokens από μία συσκευή μπορούν να χρησιμοποιηθούν σε μια άλλη.
Οι επιπτώσεις αυτού του κενού ασφαλείας κυμαίνονται από απλή αποκάλυψη μέχρι απώλεια δεδομένων από το Calendar, ενώ επίσης επηρεάζονται δεδομένα που αφορούν τις επαφές, όπως τα τηλέφωνα, οι διευθύνσεις ή τα e-mail.
Επιπλέον, τα tokens αυτά ισχύουν για μεγάλο χρονικό διάστημα (14 ημέρες για τα Calendar tokens) πράγμα που σημαίνει πως όποιος έχει πρόσβαση στο Token έχει και πρόσβαση δύο εβδομάδων στα προσωπκά δεδομένα.
Η υποκλοπή των token είναι ιδιαίτεα εύκολη. Το μόνο που χρειάζεται να κάνει ο επιτιθέμενος είναι να δημιουργήσει ένα ξεκλείδωτο wi-fi access point με ένα όνομα (SSID) που συναντάται συχνά - π.χ. starbucks connx κλπ. Με τις default ρυθμίσεις, τα τηλέφωνα με Android συνδέονται αυτόματα με ήδη γνωστά δίκτυα, και αρχίζουν να συγχρονίζουν τα δεδομένα. Ενώ ο συγχρονισμός θα αποτύχει (δεν είναι ανάγκη το access point να έχει πρόσβαση στο internet), ο επιτιθέμενος μπορεί να αντιγράψει authTokens για κάθε υπηρεσία που επιχειρεί τον συγχρονισμό.
Τι μπορούν να κάνουν οι κάτοχοι Android? Τα εξής:
1) Να αναβαθμίσουν τη συσκευή τους σε ένα Android που να παρέχει HTTPS για το συγχρονισμό του Google Calender και των Contacts. Το κακό σε αυτή την περίπτωση είναι πω ο πάροχος μπορεί να κάνει εβδομάδες ή μήνες να κυκλοφορήσει μια αναβάθμιση για το Android, ή μπορεί και ποτέ.
2) Να απενεργοποιήσουν τον αυτόματο συγχρονισμό στις εφαρμογές που επηρεάζονται σε ανοιχτά δίκτυα Wi-fi
3) Να αποφεύγουν να χρησιμοποιούν τις εφαρμογές σε ανοιχτές συνδέσεις Wi-Fi.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου